En esta lista vamos a ver los mejores plugin de seguridad para WordPress 2021 para implementar técnicas de seguridad y crear copias de seguridad en WordPress.

Los plugin de seguridad para WordPress son herramientas que implementan multitud de técnicas de seguridad para tu página web.

Estas técnicas de seguridad protegen tu CMS frente a la mayoría de ataques de seguridad y Malware de internet que intentan tomar el control, desestabilizar o dañar una página web.

Si un hacker toma el control de una página web podrá, mostrar publicidad falsa, redirigir tráfico web, robar datos privados de los usuarios o incluso usar la memoria ram y procesador del servidor para otras tareas.

Los principales ataques de seguridad de los que debemos proteger nuestro CMS son:

  • Ataques de denegación de servicio (DDOS): que hacen miles de llamadas a una web y sobrecargan el servidor haciendo imposible acceder a la web por un tiempo.
  • Ataques de inyección de código malicioso: el hacker accede al sistema e introduce Malware o modifica el código PHP de un archivo de la página web haciendo posible casi cualquier acción dentro del sistema.
  • Ataques de fuerza bruta: el hacker prueba millones de usuarios y contraseñas en el login de la web para intentar acceder a ella.
  • Suplantación de identidad (Phishing): el Phishing trata de engañar a los usuarios creando una copia de la página web y suplantando la identidad de la empresa para robar datos de acceso o transferencias.
  • Intercepción de datos (man in the middle): la técnica del hombre del medio o hombre que escucha, intercepta los datos de la red mientras se transmiten para ver qué datos se envían y reciben, como por ejemplo, las contraseñas de los usuarios.
  • Difusión de Spam: el hacker accede a tu servidor y usa el sistema de correo electrónico para mandar emails con Spam.

La mayoría de ataques de seguridad web pueden evitarse tomando medidas sencillas de seguridad que dentro de WordPress podemos implementar fácilmente con plugin de seguridad o incluso desde el servidor web.

Vamos a echar un ojo los mejores plugins de seguridad para WordPress que solucionarán la mayoría de agujeros de seguridad.

Wordfence

WordFence es el plugin de seguridad para WordPress más utilizado, es una mega suit de seguridad llena de opciones avanzadas y un cortafuegos WAF, tiene una versión gratuita y que es más que suficiente para la mayoría de las webs.

  • Firewall que analiza las peticiones y las bloquea si detecta un comportamiento sospechoso.
  • Red de firewall WAF en la nube que actualiza medidas de seguridad según los datos de todos los Wordfence instalados.
  • Herramientas para proteger el login como intentos limitados para fallar contraseñas.
  • Análisis del sistema y de sus archivos en busca de virus y malware e incluye avisos del estado del sistema.
  • Bloqueo manual de IP.
  • Acceso con autenticación en dos factores.

El scan de archivo es realmente completo y te indicará cuándo y qué cambios se han producido en los archivos ya sea una actualización de un plugin o tema, un cambio de código PHP sospechoso o hasta el código fuente de la web.

La versión de pago activa opciones avanzadas para el firewall como actualización de reglas de seguridad y actualizaciones de nuevos ataques en tiempo real además de comprobaciones de reputación para ver si tu web a sido incluida en listas de webs peligrosas o Spam y una herramienta para bloquear el acceso a la web por países.

En definitiva Wordfence es el plugin de seguridad para WordPress que tiene el cortafuegos WAF más potente y que incluye la mayoría de técnicas de seguridad para tu web, un auténtico antivirus para páginas web.

All In One WP Security and Firewall

All In One WP Security and Firewall es el plugin de seguridad que usamos nosotros tanto en nuestras páginas web como en nuestro curso de WordPress.

Es la suite de seguridad más completa, incluye algunas opciones más que Wordfence, un cortafuego muy completo y también es más fácil de configurar.

Una de las opciones por las que elegimos este plugin es por que trae la opcion para cambiar la URL del login y la opción para cambiar el prefijo de la base de datos de forma fácil.

Tiene un firewall sencillo basado en reglas de seguridad que es menos potente que la red firewall de Wordfence pero consume muchos menos recursos.

Uno de los puntos fuertes de este plugin es que es fácil de utilizar, e incluye una puntuación que te indica cómo de segura es tu página web según las técnicas de seguridad tienes activadas.

iThemes Security

Security es el plugin de seguridad de iThemes, este plugin también es una suite de seguridad para WordPress muy completa y parecida a los plugin anteriores.

La ventaja de este plugin es que sus opciones se activan según sus diferentes módulos que que activas o desactivas sus módulos según los necesites.

Es muy utilizado por los veteranos de WordPress.

Quizá sea menos personalizable pero es realmente sencilla de utilizar e ideal si solo quieres activar las opciones base de seguridad para optimizar los recursos del servidor.

Para los que quieren todas las opciones posibles de seguridad la versión premium de iThemes Security es realmente completa.

WPS Hide login

WPS hide login es un sencillo plugin de seguridad para WordPress que lo único que hace es cambiar la url de acceso al login de WordPress /wp-admin para personalizarla y que los ataques automáticos a esa URL no se produzcan.

Piensa que la url del login de WordPress es igual para todos los WordPress y los hackers lo saben, esto lo convierte en el mayor agujero de seguridad de la web y cambiar esta url es una medida de seguridad básica.

Este plugin captura las peticiones al login y las muestra en otra url por lo que otros plugin que funcionan en el login deberían de funcionar sin problema.

Lo puedes usar junto a Wordfence, ya que no trae esta opción, no es necesario si usas All In One WP Security and Firewall.

Limit Login Attempts

Limit Login Attempts es otro plugin sencillo de seguridad que implementa un sistema de límite de intentos de acceso al login para protegernos de ataques de fuerza bruta.

Puedes personalizar el número de veces que puedes poner mal la contraseña en el login antes de ser bloqueado por dirección IP.

También puedes personalizar el tiempo que vas a estar bloqueado y cuenta con listas blancas y negras de direcciones IP.

Sencillo y hace lo que promete, es muy utilizado sobre todo para usuarios que buscan implementar con plugin las técnicas de seguridad más sencillas.

Really Simple SSL

Really Simple SSL es un plugin muy usado en páginas web que migraron de http a https, este plugin permite implementar fácilmente un certificado SSL.

Instalar un certificado SSL en la web y usar la versión segura https impide muchos ataques de seguridad web como la mayoría de ataques de man in the middle ya que cifra los datos entre el servidor y el navegador web.

Lo que hace el plugin es que todas las peticiones entrantes se redirigen a https, de esta manera configura el sistema para usar https.

También soluciona problemas de contenido mixto forzando la carga de los elementos de la web en https.

El plugin no crea el certificado SSL, este hay que crearlo desde el servidor, el plugin solo gestiona fuerza el uso del certificado y sus redirecciones.

Aunque el plugin es muy utilizado, no recomiendo usarlo, ya que el cambio de urls y las redirecciones a https puedes hacerlas desde el servidor con código o en la mayoría de alojamiento web como SiteGround estas opciones se implementan literalmente haciendo dos clics.

Change Table Prefix

La base de datos de WordPress es un elemento delicado que contiene toda la información de nuestra página web como configuraciones de la web, contenido de las páginas y post, contraseñas encriptadas y datos del usuario.

Que un hacker acceda a la base de datos de la web es como si un ladrón se paseara por todas las habitaciones de tu casa.

Una de las medidas de seguridad más básicas es cambiar el prefijo de las tablas de la base de datos para dificultar los ataques a la base de datos.

Change Table Prefix te permite cambiar la tabla de la base de datos fácilmente desde el panel de administración de WordPress.

Aviso: esta técnica de seguridad cambia la base de datos, haz una copia de seguridad de la base de datos antes de implementarla.

UpdraftPlus WordPress Backup Plugin

Las copias de seguridad son tu salvaguarda cuando un hacker ha tenido éxito y ha destruido parte o la totalidad de tu página web.

Si esto pasa y no tienes una copia de seguridad será muy difícil o imposible restaurar tu página web.

UpdraftPlus permite hacer copias de seguridad de los archivos de la web y de la base de datos.

Además permite guardarla en el servidor o enviarla a plataformas de almacenamiento como Gdrive o Dropbox de forma automática.

Tiene todas las opciones que puedes necesitar para hacer copias de seguridad y puedes programar cuando se ejecutan.

Consejo: con un hosting de calidad que se encargue de las copias de seguridad no es necesario tener instalado un plugin de seguridad en la mayoría de los casos.

WP Security Audit Log

Si quieres un registro de todo lo que ocurre en tu sistema creado con WordPress puedes tenerlo con WP Security Audit Log.

De esta manera podrás ver toda la actividad de tu página web y detectar si algún usuario tiene comportamiento sospechoso o ha instalado un Malware.

Es perfecto para detectar qué usuario ha sido el responsable de una acción y saber que a ocurrido exactamente después de una pifia para poder arreglarlo lo antes posible.

Incluso podemos saber quién hace cambios en el contenido de nuestro blog.

Wp Security Audit Log permite:

  • Ver los cambios de páginas, post y custom post types
  • Ver cambios en categorías y etiquetas
  • Ver cambios en Widgets y menús
  • Cambios en productos de la tienda online
  • Ver cambios de usuarios
  • Ver la actividad del usuario
  • Ver cambios en ajustes de WordPress
  • Ver cambios en ajustas de plugins y temas
  • Ver cambios en la base de datos

Con la versión premium de WP Security Audit Log tambien puedes ver la actividad en tiempo real y controlar que hacen los usuarios conectados, además de generar informes y configurar alertas.

¿Qué plugin de seguridad necesito en mi página web?

Dependiendo de cómo sean los recursos que necesita tu proyecto web y los recursos de tu servidor tendras que decidir que plugins de seguridad para WordPress instalar.

Se puede prescindir de los plugin de seguridad y conseguir una alta seguridad web con un buen proveedor de hosting y sencillas reglas de seguridad en el htaccess y diferentes configuraciones del servidor.

Esta opción sería recomendable cuando el proyecto web necesita los máximos recursos disponibles para estar optimizado.

Pero para la mayoría de las páginas web podemos instalar una suite de seguridad completa para implementar técnicas de seguridad web y estar seguros frente a ataques de hackers.

Las combinaciones de plugins de seguridad que te recomendamos son:

All in one firewall and security: el que nosotros usamos porque es el más completo en opciones y es fácil de utilizar.

Wordfence + WPS Hide login: El plugin Wordfence tiene el cortafuegos más potente pero no tiene la opción de cambiar la url del login de WordPress, por lo que usarlo en combinación de WPS Hide login es una buena opción.

Limit Login Attempts + WPS Hide login: Si solo quieres implementar seguridad en el login ya que es la zona de las páginas web más atacada la combinación de estos dos plugin puede ser una solución. Además de esta manera no instalas una suite de seguridad si tu servidor no tiene los recursos necesarios.

Otras recomendaciones sobre los plugin de seguridad:

Recomendación plugin para hacer copias de seguridad WordPress: Aunque puedes instalar un plugin para hacer una copia de seguridad de tu página web, es mucho más óptimo y cómodo usar las copias de seguridad del hosting.

Recomendación de seguridad: da igual si implementas la seguridad de la web con reglas de código en el servidor o con plugins si pones una contraseña débil como admin1234 tu página web será insegura.

Recomendación de rendimiento: Con un buen hosting rápido y preparado para WordPress puedes tener un mega plugin de seguridad como All In One Firewall and Security o Wordfence instalado sin problemas. Si tu servidor tiene recursos limitados un plugin de seguridad puede afectar negativamente a la velocidad de carga de la página web.

Recomendación de alojamiento web: La seguridad y la optimización web deberían ser prioritarias para los proveedores de alojamiento web que deben contar con servidores preparados con las últimas tecnologías como firewalls del servidor Mod Security y otras técnicas de seguridad.

Desgraciadamente no todos los alojamientos web mantienen servidores de calidad, así que elige bien tu alojamiento web.

Conclusión sobre los plugin de seguridad

La mayoría de ataques de seguridad son acciones automáticas programadas por un hacker para que un bot ataque miles de páginas web automáticamente buscando los agujeros de seguridad más comunes.

Es decir que en el mundo hay millones de intentos de ataques de seguridad todos los días y estos ataques son indiscriminados, no es que la competencia te ataque, es que hay bots programados buscando webs sin seguridad.

Con un sencillo plugin de seguridad podemos proteger la mayoría de estos ataques de seguridad fácilmente.

Si los recursos de tu servidor lo permiten, no dudes en instalar un plugin para aumentar la seguridad de tus páginas web.

Recuerda que aunque los hosting suelen aseguran en la medida de lo posible tu página web con reglas de seguridad del servidor, no podrán hacer nada si pones una contraseña débil y no aseguras el login de tu página web creada con WordPress.

Abrir chat
¿Tienes dudas?