Wordfence vs All-In-One WP Security: ¿Cuál es el mejor complemento de seguridad?

Publicado: 2023-04-07

Tienes un sitio web y empiezas a ser muy popular. Ha estado escuchando sobre amenazas de seguridad y está preocupado por la salud de su sitio. Decide obtener un complemento de seguridad para ayudar a administrar la salud de su sitio y protegerlo de los ataques. ¿Pero cuál eliges? ¿Hay tantos complementos de seguridad para elegir? Cuando se trata de algo tan crucial como la seguridad, no puede elegir cualquier complemento.

Wordfence es un nombre que sigue apareciendo cuando se trata de complementos de seguridad de sitios web. Es una opción popular que ofrece a los usuarios una variedad de características diseñadas para proteger sus sitios de amenazas maliciosas. Pero, ¿es Wordfence el complemento de seguridad adecuado para usted? ¿Qué características le faltan?

All-In-One Security es un complemento de seguridad y un software antispam altamente calificado y elogiado por su amplia gama de características. No solo proporciona todas las funciones de seguridad de un complemento de seguridad, sino que también tiene muchas funciones de refuerzo para garantizar que su sitio sea lo más seguro posible. Pero, ¿cómo se compara con sus competidores? ¿Está a la altura de su reputación?

No somos fanáticos de All-In-One Security, ya que carece de un limpiador y es esencialmente solo un complemento antispam y de refuerzo glorificado; Wordfence es sin duda la mejor opción. El mejor complemento de seguridad para WordPress no es ni Wordfence ni All-in-One Security; es MalCare.

Cuando se trata de la seguridad de WordPress, hay una variedad de complementos para elegir. Dos de los más populares son All-In-One Security y Wordfence. En este artículo, comparamos cómo ambos complementos manejan acciones de seguridad importantes, como instalar un firewall o eliminar malware. Siga leyendo para conocer las diferencias entre estos dos complementos de seguridad y por qué creemos que Wordfence es mejor.

Descripción general: Wordfence frente a la seguridad todo en uno

Wordfence y All-In-One Security son complementos de seguridad para WordPress con versiones gratuitas y premium, pero tienen diferencias significativas.

Wordfence tiene un mecanismo de detección de coincidencia de firmas que puede detectar entre el 70 y el 80 % del malware y un firewall que evita las amenazas, pero la versión gratuita se actualiza más tarde que la premium.

All-In-One Security tiene capacidades antispam y una función de autenticación de dos factores, pero la versión gratuita carece de un escáner para verificar si el sitio está pirateado, detección de vulnerabilidades o limpiador de malware. El cortafuegos se basa en gran medida en el archivo .htaccess, que solo puede bloquear ciertas categorías de bots maliciosos.

En general, Wordfence parece ser un complemento de seguridad más completo, mientras que All-In-One Security se centra más en las funciones antispam.

Wordfence en pocas palabras

Wordfence es un completo complemento de seguridad gratuito para WordPress.

Seguridad de Wordfence

Su mecanismo de detección de coincidencia de firmas puede detectar entre el 70 y el 80 % del malware, aunque no detecta la mayoría del malware basado en bases de datos. Su firewall hace un buen trabajo al mantener alejadas las amenazas, pero vale la pena señalar que la versión gratuita se actualiza mucho más tarde que la premium. Además, es importante consultar con su proveedor de alojamiento web si Wordfence está permitido en su sitio, ya que puede ser un acaparador de recursos, lo que lleva a muchos hosts a prohibirlo por completo en sus servidores.

Seguridad todo en uno en pocas palabras

All-In-One Security tiene algunas características positivas. Para empezar, tiene capacidades antispam, una función de autenticación de dos factores y una función de límite de inicio de sesión, sin carga en el servidor del sitio ni alertas excesivas.

Firewall y seguridad todo en uno

Desafortunadamente, las desventajas superan a las ventajas: la versión gratuita no tiene un escáner para verificar si su sitio está pirateado, y no hay detección de vulnerabilidades ni limpiador de malware. Además, el cortafuegos se basa en gran medida en el archivo .htaccess, que solo parece poder bloquear ciertas categorías de bots maliciosos. Solo podemos recomendar All-In-One Security por sus funciones antispam, aunque preferimos CleanTalk o Akismet para ellas.

Las características de endurecimiento están bien, pero nada que no se pueda lograr fácilmente con un complemento más pequeño. Encontramos que All-In-One Security es bastante similar a iThemes en que la plétora de configuraciones en wp-admin parece estar tratando de ocultar el hecho de que el complemento carece de sustancia real.

Comparación directa de características de seguridad: Wordfence vs All-In-One WP Security

En esta sección, compararemos cómo ambos complementos se comparan entre sí en términos de características de seguridad importantes, como la detección de malware, la autenticación de dos factores, el fortalecimiento de la seguridad y el uso de recursos.

Escaneo de malware

Una detección de malware inferior al 95 % no es buena, pero al menos Wordfence gratuito es algo eficaz. All-In-One Security no tiene un escáner en su complemento gratuito.

El escáner gratuito de Wordfence tiene solo un 60% de efectividad, lo cual no es lo ideal. Los escaneos se completan rápidamente, ya que Wordfence usa la coincidencia de firmas para detectar malware al comparar el código en su sitio con una base de datos masiva de firmas de malware. Hacen un gran trabajo al mantener actualizada su base de datos de firmas; sin embargo, no puede detectar ataques de día cero.

Escaneo de malware Wordfence

Además, la coincidencia de firmas solo es eficaz contra el malware basado en archivos y no puede detectar malware en la base de datos. Descubrimos que solo detectó el 70-80% del malware y produjo falsos positivos para arrancar. Por último, el escáner solo puede detectar malware en complementos y temas de código abierto o gratuitos, ya que se basa en el código disponible públicamente para la comparación. Los complementos y temas premium no están incluidos en el escaneo.

Escáner de malware de Wordfence

Nos sorprendió saber que el escaneo de malware es una característica premium de All-In-One Security. En el lado positivo, los escaneos se llevan a cabo en sus servidores en lugar de en su propio sitio web.

Limpieza de malware

La función de eliminación de malware de Wordfence es normal, pero al menos existe. No es así con la seguridad todo en uno.

Wordfence ofrece dos opciones de eliminación automática de malware: eliminar todos los archivos eliminables y reparar todos los archivos reparables. Si se necesita una limpieza más profunda, Wordfence también ofrece un servicio de limpieza experto.

Probamos ambas opciones automatizadas y descubrimos que lograron eliminar el malware de nuestro sitio web; sin embargo, tuvimos que proceder con precaución debido a las advertencias de posibles interrupciones en el sitio. Desafortunadamente, el escáner no pudo detectar ningún malware de base de datos o malware encontrado en complementos premium, por lo que la reparación automática no era una opción.

Desafortunadamente, All-In-One Security no ofrece una función de limpieza de malware ni siquiera un servicio de limpieza recomendado. La única guía que brindan son consejos, que están lejos de ser satisfactorios. Para un complemento de seguridad, esto es muy decepcionante.

cortafuegos

El cortafuegos gratuito de Wordfence deja mucho que desear. El cortafuegos de All-In-One Security es resistente a los robots de spam, pero poco más.

El cortafuegos de Wordfence comienza en modo de aprendizaje, que Wordfence sugiere dejar durante una semana para que sea más efectivo. Sin embargo, debido a la falta de tráfico en vivo a nuestros sitios web de prueba, decidimos apagarlo de inmediato.

Cortafuegos Wordfence

Bloquea con éxito los ataques en línea, aunque el firewall gratuito solo tiene un 35% de efectividad, según el tablero. Investigamos por qué este podría ser el caso y encontramos dos posibles explicaciones.

Protección Wordfence activada

En primer lugar, el cortafuegos gratuito se carga como un complemento después del núcleo de WordPress, lo que significa que solo puede defenderse contra algún tráfico malicioso, no todo. En segundo lugar, la versión premium de Wordfence recibe actualizaciones en tiempo real, mientras que la versión gratuita las recibe después de un período de tiempo desconocido, lo que posiblemente deja una ventana de vulnerabilidad para los piratas informáticos. Está claro a partir de la propia evaluación de Wordfence que el cortafuegos gratuito no es tan efectivo como la versión premium.

All-In-One Security tiene una función similar a un firewall que puede detener algunos bots, spam, inicios de sesión de fuerza bruta y raspadores, y cerrar el acceso a ciertos archivos. Sin embargo, estas características no constituyen un firewall real. El cortafuegos parece depender en gran medida del archivo .htaccess para las operaciones, que es una herramienta poderosa pero no adecuada para el trabajo de un cortafuegos.

Desde el tablero, puede incluir en la lista negra las direcciones IP y los agentes de usuario para proteger su sitio. Para habilitar el geobloqueo, debe actualizar el complemento.

Detección de vulnerabilidades

La detección de vulnerabilidades en Wordfence funciona de manera inmediata y es muy confiable. All-In-One Security promociona esto como una característica premium, como parte de su escáner.

Wordfence nos alertó con precisión sobre todos los complementos desactualizados como amenazas medianas y marcó correctamente las vulnerabilidades como amenazas críticas.

Parece que la detección de vulnerabilidades solo está disponible en la función de escaneo premium de All-In-One Security. Por lo tanto, a partir de ahora, no hay detección de vulnerabilidades disponible.

Protección de fuerza bruta

Wordfence tiene una gran protección de fuerza bruta, mientras que All-In-One Security tiene una característica notablemente sofisticada con muchas campanas y silbatos agradables.

La protección de fuerza bruta está habilitada de forma predeterminada en Wordfence y funciona de manera efectiva cada vez, bloqueando a los usuarios con demasiados intentos incorrectos según la configuración establecida en el tablero. La configuración se puede encontrar en la sección de firewall, y hay muchas opciones para personalizar, como el tiempo de bloqueo para intentos de inicio de sesión incorrectos. Wordfence explica claramente cada una de estas configuraciones y proporciona una amplia documentación.

También es posible establecer opciones de administración de contraseñas aquí, como hacer cumplir contraseñas seguras y evitar el uso de contraseñas descubiertas en una violación de datos. Es posible incluir direcciones IP en la lista blanca en esta sección, sin embargo, no estamos seguros de su efectividad ya que las direcciones IP de los dispositivos pueden ser dinámicas, lo que significa que un usuario legítimo aún podría quedar bloqueado.

All-In-One Security ofrece una variedad de configuraciones para evitar la fuerza bruta en la pantalla de inicio de sesión del usuario y usamos los valores predeterminados recomendados para probar la función. Probamos contraseñas incorrectas con nombres de usuario existentes y nombres de usuario incorrectos y el bloqueo funcionó sin problemas.

Es posible modificar la configuración según las preferencias de cada uno y, en general, esta característica es una de las mejores versiones que hemos visto para limitar los inicios de sesión.

Además, hay un conjunto separado de conmutadores específicamente para la prevención de fuerza bruta, uno de los cuales es la capacidad de cambiar la URL de inicio de sesión. Esta es una medida de endurecimiento disfrazada de prevención de fuerza bruta. Además, hay una opción de señuelo, que solo es visible para los bots, que se puede habilitar para rechazar automáticamente los registros que caen en la trampa del señuelo. Esta función es para evitar registros de spam.

Registro de actividades

Ninguno de los complementos tiene un registro de actividad.

Nos sorprendió descubrir que Wordfence no tiene un registro de actividad, ya que es un componente crucial de la seguridad del sitio web. Hay una opción para habilitar la depuración en la sección Diagnóstico del menú Herramientas, pero esto hace que los registros del firewall se vuelvan más detallados, no un registro de actividad. A través de una extensa investigación, pudimos localizar un registro de actividad específico para los eventos de Wordfence en la sección Escanear. Sin embargo, es un registro sin procesar, presumiblemente creado solo para desarrolladores de Wordfence.

Desafortunadamente, AIOS no tiene un registro de actividad, solo un registro de inicio de sesión a medio cocinar.

Autenticación de dos factores

Tanto All-In-One Security como Wordfence tienen características 2FA decentes.

La autenticación de dos factores de Wordfence es fácil de configurar y personalizar con una variedad de opciones. Solía ​​ser una característica premium, pero ahora también está incluida en el complemento gratuito.

All-In-One Security ofrece la capacidad de configurar la autenticación de dos factores (2FA) para todo tipo de usuarios, o elegir las cuentas que son más importantes para proteger.

Este conmutador agrega 2FA como una opción en el perfil del usuario, lo que permite al usuario habilitarlo si lo desea.

Hay varias opciones entre las que el usuario puede elegir, según el mecanismo que más le convenga. Con todo, All-In-One Security 2FA es una característica integral.

Uso de recursos del servidor

Wordfence es una plaga en un servidor de sitio. All-In-One Security, por otro lado, apenas utiliza recursos, ya que en realidad no escanea el sitio en la versión gratuita.

Wordfence puede consumir muchos recursos, ya que cada acción que realiza en un sitio web consume recursos del servidor. Esto puede generar un aumento en el uso del disco durante los escaneos, lo que puede hacer que el uso del disco se duplique o incluso triplique, lo que afectará negativamente el tiempo de carga, el tiempo de respuesta y la experiencia del usuario, incluso en sitios web relativamente pequeños.

All-In-One Security es muy cuidadoso con el servidor del sitio ya que no hay escaneo disponible en la versión gratuita. Además, puede evitar el hotlinking habilitando la configuración en la sección de firewall. Esto evitará que las personas utilicen los activos almacenados en el servidor de su sitio en su propio sitio, lo que puede agotar el espacio de su servidor.

Alertas

Wordfence te bombardeará con alertas. Con All-In-One Security puedes personalizar los que quieres recibir.

Con Wordfence, rápidamente quedamos enterrados bajo correos electrónicos y alertas. Desafortunadamente, esto los vuelve inútiles porque demasiadas alertas pueden conducir a la inacción cuando sea necesario.

All-In-One Security tiene una cantidad razonable de alertas, como usuarios bloqueados, y puede personalizar qué alertas le gustaría recibir. Sin embargo, esto no está ni cerca de la abundancia de alertas que ofrece Wordfence.

Instalación, configuración y usabilidad

Wordfence tiene la mejor instalación y configuración que hemos visto. Incluso All-In-One Security fue fácil en comparación con algunas de las otras horribles interfaces de usuario que hemos visto.

Muchos elogian mucho la instalación, la configuración y el uso general de Wordfence. Su documentación incluye tutoriales paso a paso en cada sección principal, que brindan explicaciones detalladas de las configuraciones y características más importantes en un lenguaje fácil de entender.

Además, Wordfence brinda excelentes recomendaciones para la configuración y la documentación está disponible a través de información sobre herramientas en el tablero, lo que lo hace muy fácil de usar. Cada función se explica en profundidad y las instrucciones sobre cómo aplicarlas a su sitio web son accesibles al instante.

La instalación y activación de All-In-One Security fue relativamente sencilla en comparación con el desorden que era la interfaz de usuario de Bulletproof Security.

Sin embargo, debido a que MalCare ya estaba instalado en el sitio, no pudimos configurar automáticamente el firewall y tuvimos que editar el código en la terminal para reemplazar el firewall de MalCare con el firewall All-In-One Security.

All-In-One Security tiene un sistema de puntuación para determinar qué tan seguro es nuestro sitio web. La puntuación de 0/505 en el sitio fue una dolorosa sorpresa, sin embargo, este sistema ayuda a comprender el estado del sitio. Para aumentar la seguridad y obtener mejores puntos, es necesario habilitar las funciones básicas de seguridad en cada una de las opciones del menú de configuración.

Extras

Wordfence ofrece una sección de Notificaciones para indicar qué complementos y temas deben actualizarse debido a que se consideran amenazas críticas o medianas.

Además, el tablero de Wordfence Central permite administrar varios sitios en la misma cuenta; sin embargo, esto puede no ser muy útil para las agencias con cientos de sitios administrados.

La sección de tráfico en vivo registra y clasifica el tráfico, e incluso ofrece una búsqueda de "Quién es" para ver al atacante sin salir de wp-admin.

Por último, pero no menos importante, la sección Diagnóstico ofrece información completa sobre el sitio web en un solo lugar, lo que lo convierte en una herramienta invaluable para los desarrolladores.

All-In-One Security ofrece copias de seguridad parciales de la base de datos del sitio, el archivo .htaccess y el archivo wp-config, lo cual es una gran idea. Pero esas copias de seguridad no son suficientes para reconstruir un sitio destruido por sí solos. Los complementos y temas se pueden modificar significativamente y no hacer una copia de seguridad de ellos puede generar errores costosos. Para asegurarse de que su sitio esté completamente protegido, asegúrese de realizar una copia de seguridad explícita y guardarla en su dispositivo.

Además, el archivo .htaccess no cambia con frecuencia, pero la base de datos sí lo hace. Una copia de seguridad automática sería la forma más efectiva de proteger su sitio, ya que es posible que las personas ni siquiera se den cuenta de los cambios en la base de datos.

Aunque All-In-One Security incluye algunas configuraciones de refuerzo, es posible que no sean tan efectivas para proteger un sitio web como algunos pueden suponer. Por ejemplo, eliminar la versión de WordPress no evitará la vulnerabilidad, ya que actualizar WordPress es la única forma de mantenerse seguro.

Además, intentar ocultar el nombre de usuario del administrador no detendrá los ataques de fuerza bruta, ya que aún consumen recursos del servidor. La herramienta de contraseñas de All-In-One Security puede ser útil para crear una contraseña segura; sin embargo, cambiar el prefijo de la base de datos y cambiar los permisos de los archivos son medidas ineficaces. Deshabilitar el acceso a XML-RPC es una función útil, pero la detección de cambios de archivos tiene un uso limitado.

Poder cambiar los permisos de los archivos habría sido una característica útil si no fuera tan inútil. Solo puede cambiar los permisos de archivo para ciertos archivos y carpetas, y solo puede cambiarlos a los permisos recomendados por AIOS. Hable acerca de hacer una función a prueba de idiotas y hacerla completamente inútil.

Es interesante notar que los registros de usuarios en un sitio web pueden limitarse para ayudar a proteger contra piratas informáticos. Esta táctica puede evitar que los piratas informáticos creen cuentas de usuario y aumenten los privilegios para obtener acceso sin restricciones al sitio. Además, hay una variedad de opciones disponibles para evitar los comentarios de spam, lo cual es una gran característica ya que los comentarios de spam pueden ser muy molestos. Un firewall debería evitar que los robots de spam publiquen, pero tener un filtro adicional en su lugar es beneficioso.

reCAPTCHA
Bloques de robots de spam
Tarro de miel

¿Qué falta?

Claramente nos gusta la versión gratuita de Wordfence, pero tiene algunos inconvenientes. No incluye protección contra bots ni registro de actividad. Su escáner está por encima del promedio en comparación con los otros complementos de seguridad disponibles, con la excepción de MalCare. MalCare tiene protección y un registro de actividad, lo que lo convierte en el mejor complemento.
Puede adivinar lo que estamos a punto de decir sobre All-In-One Security. Le falta un limpiador. Sonamos como un disco rayado, pero desafortunadamente, debido a la falta de opciones de limpieza, es difícil considerar este complemento como una opción de seguridad viable.

Precios

La versión gratuita de Wordfence es bastante completa, y la tarifa de suscripción anual de $99 es un buen valor. Anteriormente, los clientes tenían que pagar $490 adicionales por la limpieza de malware, junto con la tarifa de suscripción. Sin embargo, los clientes ahora pueden elegir entre los planes Care y Response, y el plan Care no ofrece costo adicional. El plan Response ofrece un tiempo de respuesta garantizado de 1 hora en caso de pirateo, a un costo de $950 por sitio por año, lo que puede ser invaluable.

Precios de Wordfence

A primera vista, el precio de All-In-One Security de $70 por año para dos sitios parece razonable. Sin embargo, debe tenerse en cuenta que no se incluye la limpieza de malware, lo que significa que tendrá un costo adicional. Además, es difícil evaluar la efectividad del escáner.

Mejor alternativa a Wordfence y All-In-One Security: MalCare

Si bien nos gusta Wordfence, MalCare es un complemento de seguridad mucho mejor. El complemento de seguridad más completo con todo lo que necesita y más es MalCare. Proporciona protección contra bots y un registro de actividad del que carece Wordfence y es mucho más confiable. MalCare también cubre la base de datos, cosa que no hacen otros complementos.

Lectura recomendada: seguridad de Wordfence vs WP Cerber

¿Qué hace que un complemento de seguridad sea bueno?

Nuestro amplio conocimiento de la seguridad de WordPress nos ha permitido crear una guía concisa e informativa de las funciones de seguridad esenciales para buscar en un complemento de seguridad. Hemos excluido todas las características que no están directamente relacionadas con la seguridad para brindarle una lista más enfocada.

Características esenciales:

  • Escaneo de malware: esta función ayuda a detectar cualquier código, archivo o script malicioso que se haya agregado al sitio web, alertando al usuario de cualquier amenaza potencial y brindándole tranquilidad.
  • Eliminación de malware: ayuda a eliminar cualquier código malicioso que se haya detectado, lo que lo convierte en un paso crucial para mantener el sitio web seguro y protegido.
  • Cortafuegos: ayuda a bloquear el tráfico malicioso y las solicitudes para que no lleguen al sitio web, así como a evitar que las amenazas potenciales ingresen al sitio web. Además, puede alertar al usuario de cualquier actividad sospechosa, como intentos de ataques de fuerza bruta, brindándole una alerta temprana y protección adicional.

Funciones de seguridad útiles:

  • Detección de vulnerabilidades: ayuda a identificar posibles vulnerabilidades en el sitio web que podrían ser explotadas por piratas informáticos, por lo que es crucial identificarlas y parchearlas lo antes posible.
  • Protección de inicio de sesión de fuerza bruta: Esto significa bloquear cualquier intento de ataques de fuerza bruta en el sitio web, lo que dificulta el acceso de los piratas informáticos y proporciona una capa adicional de protección para su sitio web.
  • Registro de actividad: supervise y rastree cualquier actividad sospechosa en el sitio web, como solicitudes maliciosas o intentos de inicio de sesión fallidos, lo que permite al usuario tomar medidas y bloquear las amenazas antes de que se produzcan daños graves.
  • Autenticación de dos factores: esto agrega una capa adicional de seguridad al sitio web al requerir que el usuario ingrese un código adicional antes de poder acceder al sitio web. Esto hace que sea más difícil para los piratas informáticos obtener acceso al sitio web, lo que brinda a los usuarios una mayor tranquilidad.

Problemas potenciales:

  • Impacto en los recursos del servidor: es importante considerar la intensidad de los recursos de los complementos de seguridad al tomar su decisión, ya que pueden causar tiempos de carga lentos y otros problemas de rendimiento.

Envolver

Al seleccionar un complemento de seguridad de WordPress para su sitio web, debe evaluar el escáner, el limpiador y el firewall, ya que estas tres características son esenciales para un complemento de seguridad sólido. Encontrará todas esas funciones en MalCare. En MalCare, nos esforzamos por hacer que la seguridad sea fácil y sencilla para que pueda concentrarse en hacer crecer su negocio. Deje que nosotros nos ocupemos de la seguridad mientras usted se ocupa del resto.