iThemes Security Vs Sucuri: ¿Cuál es mejor complemento de seguridad?

A primera vista, iThemes Security parece un complemento de seguridad excelente y asequible para sus sitios web de WordPress. Especialmente si considera que puede proteger sitios web ilimitados por solo $ 199.

Sucuri, por otro lado, es uno de los complementos de seguridad de WordPress más populares disponibles. Tiene un gran impacto con un escáner y un firewall, y también ofrece eliminación de malware. Así que ya en este mano a mano, le ha robado la marcha a los iThemes. ¿Por qué? Porque iThemes no tiene ninguna de esas características.

iThemes quedó eliminado de la carrera por completo. En este concurso, Sucuri fue sin duda la ganadora. Habiendo dicho eso, todavía no confiaríamos en Sucuri para proteger nuestro sitio web. ¿Qué complemento de seguridad está garantizado para proteger los sitios web de WordPress de los piratas informáticos? La respuesta es inequívoca: MalCare.

Resumen de la comparación iThemes Security vs Sucuri

iThemes Security es el placebo de los complementos de seguridad de WordPress. Crees que tu sitio web está a salvo de los piratas informáticos, pero todo lo que en realidad lo protege son ilusiones y vibraciones positivas. Sucuri es indudablemente mejor, pero mejor es un término relativo después de todo. No es un gran complemento de seguridad.

La seguridad de iThemes en pocas palabras

La conclusión es que iThemes no protege su sitio web. Recomendamos encarecidamente omitir iThemes por completo si lo está considerando para la seguridad de WordPress. Y si ya lo tiene instalado, escanee su sitio web inmediatamente. Su sitio web no tiene seguridad.

Nuestras primeras impresiones de iThemes fueron en realidad favorables. El sitio web habla muy bien e infunde confianza debido a la forma autoritaria en que hablan sobre la seguridad de WordPress. La única falla que pudimos ver fue que no se podía usar el complemento para limpiar el malware. Eso no es lo ideal, pero aún podría funcionar como un escáner.

O eso pensábamos.

El escáner iThemes no detecta malware. En absoluto. Nos arriesgamos a adivinar que ni siquiera escanea archivos y datos, porque el escaneo finaliza en segundos. Lo que hace el 'escáner' de iThemes es verificar el Informe de transparencia de Google para ver si su sitio web está en esa lista. No necesitamos un complemento de seguridad para hacer eso. Volvimos a revisar el sitio web y nos sorprendió notar que las funciones no dicen explícitamente escanear en busca de malware. Simplemente dice que la detección de malware es uno de los pasos clave en la seguridad de WordPress. Eso es doble discurso, si alguna vez lo vimos.

Tuvimos la tentación de descartar las pruebas de iThemes como inútiles, pero continuamos en aras de la equidad.

El complemento tiene una sólida función de autenticación de dos factores, que puede habilitar en su página de inicio de sesión. También tiene algunas características de refuerzo decentes como bloquear la ejecución de PHP en carpetas. Habiendo dicho eso, la protección de inicio de sesión de fuerza bruta solo funciona algunas veces. Otra marca negra contra el complemento.

Nuestra conclusión del uso de iThemes es que las únicas características de algún valor de seguridad son la autenticación de dos factores y la fácil implementación de reCAPTCHA en wp-login. Sin embargo, estas dos características no justifican una factura de $199, porque hay mejores complementos de seguridad que ofrecerán las mismas características, además de algo de seguridad real.

Probar iThemes fue una experiencia terrible porque no podemos imaginar la cantidad de sitios web que creen que están protegidos por una seguridad inexistente. De hecho, los usuarios de iThemes deberían escanear su sitio web ahora mismo.

Sucuri en pocas palabras

Sucuri tiene un firewall decente y excelentes servicios de eliminación de malware, pero fracasó espectacularmente como escáner de malware. Si no sabe que su sitio web tiene malware, no hay forma de deshacerse de él. Esta es una parte no negociable de un complemento de seguridad.

Cuando empezamos a probar Sucuri, esperábamos mucho de él. Es uno de los complementos de seguridad más populares para WordPress, y nos sorprendió ver que el escáner no pudo detectar ningún malware en nuestro sitio de prueba pirateado. Entraremos en más detalles en una sección posterior, pero esto marcó la pauta para todo nuestro proceso de prueba.

Además de la falla, el escaneo en sí toma mucho tiempo en completarse y utiliza los recursos de nuestro servidor para hacerlo. Los mismos Sucuri desalientan demasiados escaneos debido al impacto en el rendimiento del sitio web. Es una terrible compensación entre el rendimiento y la seguridad, y simplemente no debería ser el caso.

Pasando a los servicios de firewall y eliminación de malware, Sucuri lo hizo bien. El cortafuegos fue muy difícil de configurar y nos llevó una cantidad excesiva de tiempo hacerlo. Pero bloqueó los ataques que intentamos y no pudimos aprovechar ninguna vulnerabilidad.

Sin embargo, el servicio de eliminación de malware fue lo más destacado de nuestra experiencia de prueba. Aunque el escáner le dio a nuestro sitio web pirateado un certificado de buena salud, sabíamos que estaba lleno de malware. En primer lugar, colocamos el malware allí y, en segundo lugar, los análisis de MalCare confirmaron este diagnóstico. El equipo de Sucuri eliminó todo rastro de malware de nuestro sitio y, como resultado, quedó completamente limpio. ¡Fantástico! La guinda de este pastel fue que puede tener solicitudes ilimitadas de eliminación de malware como parte de su plan, lo cual es una gran oferta.

Aparte del cortafuegos, la configuración es muy oscura. Nos encontramos desconcertados por gran parte de la jerga utilizada, y eso es con experiencia en seguridad de WordPress. La interfaz no es fácil de usar y estamos seguros de que muchas personas la encontrarán innecesariamente alarmante. Punto negativo para Sucuri allí.

Con todo, no creemos que Sucuri sea la mejor solución de seguridad para un sitio web de WordPress. Ese honor es para MalCare, debido a un escáner que funciona siempre. MalCare también obtiene puntos de bonificación que no nos hacen sentir obtusos.

Cómo elegir el complemento de seguridad adecuado para su sitio web de WordPress

La seguridad de su sitio web de WordPress no es negociable. El malware puede causar innumerables pérdidas para las empresas: pérdida de ingresos, demandas, costos de limpieza, impacto en la marca, pérdida de tráfico orgánico y mucho más. Invertir en el complemento correcto lo salvará de los piratas informáticos y el malware, y de los problemas que el malware deja a su paso.

Sin embargo, la pregunta es: ¿cómo elige un complemento de seguridad efectivo para su sitio web?

Cuando configuramos nuestras pruebas, hubo varios factores a considerar: la seguridad, por supuesto, pero también la facilidad de uso y la relación calidad-precio. Sin embargo, pronto nos dimos cuenta de que todos los factores, aparte de la seguridad, no tenían sentido, porque la única consideración debería ser la eficacia de un complemento en la seguridad.

Estos son los factores a considerar al seleccionar un complemento de seguridad.

• Funciones de seguridad esenciales
  
  • Escaneo de malware
  • Limpieza de malware
  • cortafuegos
• Características de seguridad buenas para tener
  
  • Detección de vulnerabilidades
  • Protección de inicio de sesión de fuerza bruta
  • Registro de actividades
  • Autenticación de dos factores
• Problemas potenciales
  
  • Impacto en los recursos del servidor

Como puede ver en la lista, solo 3 factores son completamente esenciales. MalCare ases en los 3: escaneo y limpieza de malware que otros complementos están garantizados para pasar por alto, y proteger su sitio web del tráfico malicioso con un poderoso firewall. Además, MalCare lo hace mejor que cualquier otro complemento de seguridad disponible actualmente.

iThemes Security vs Sucuri: comparación directa de características

La forma en que hemos presentado esta comparación es tomar primero las características más esenciales y luego discutir las otras observaciones que surgieron durante la prueba. Muy a menudo, vimos características y configuraciones que casi no hacían nada (estamos hablando de iThemes) y, sin embargo, pintaban una elaborada ilusión de seguridad.

Cortar la paja para llegar al trigo no fue fácil, pero vamos a presentar todos nuestros datos de la manera más clara y justa posible.

Si desea omitir este desmontaje, le recomendamos que instale MalCare.

Escaneo de malware

Los escáneres de Sucuri no detectaron ningún malware en nuestro sitio web. A juzgar por la rapidez con la que finalizó el análisis, iThemes ni siquiera analizó nuestro sitio web en busca de malware.

Las versiones gratuita y de pago de Sucuri tienen escáneres, por lo que nos interesaba ver si funciona de manera diferente. La versión gratuita funciona con Sucuri SiteCheck, una utilidad en línea que escanea las partes visibles públicamente de su sitio web en busca de malware. Por supuesto, esto tiene limitaciones, por lo que un chit limpio de SiteCheck no es garantía de un sitio web libre de malware.

El plan pago incluye un escáner a nivel de servidor que debe instalar en su servidor web. Puede hacerlo manualmente o ingresar los detalles de su FTP en su tablero de Sucuri para instalarlo automáticamente. Fue un proceso relativamente indoloro.

El escáner está configurado para funcionar todos los días, pero puede escanear bajo demanda, hasta cierto punto. Las solicitudes de análisis adicionales se ponen en cola y luego se ejecutan. Sucuri advierte contra el uso de demasiados escaneos porque los escaneos consumen recursos del servidor.

Eso nos detuvo, porque luego nos dimos cuenta de que Sucuri usa los recursos de nuestro sitio web para ejecutar escaneos. Con nuestros sitios de prueba, el drenaje no fue demasiado severo porque los sitios son pequeños y no hay tráfico externo. Sin embargo, definitivamente vimos un problema en el uso de nuestra CPU. Más sobre eso en una sección posterior.

La versión pro tampoco detectó ningún malware en nuestro sitio web pirateado. Esto fue sorprendente, porque los resultados de nuestro análisis de MalCare identificaron claramente el malware. Así que presentamos una solicitud de eliminación manual. Una vez que el equipo de Sucuri manejó la solicitud, el sitio apareció limpio en MalCare. Pero fue entonces cuando el escáner Sucuri marcó malware en el sitio web. Fue muy extraño.

Afortunadamente, no hubo problemas con el escáner de iThemes. No busca malware, puro y simple. El escáner iThemes simplemente verifica si su sitio web está en la lista negra de Google. Eso es todo. No nos sorprendió ver que, de hecho, nuestros sitios no estaban en la lista negra, considerando que no están indexados.

Limpieza de malware

La limpieza de malware no está en la lista de funciones de iThemes, por lo que obviamente no puede limpiar el malware. Sucuri tiene servicios ilimitados de eliminación de malware como parte de sus planes pagos. Dependiendo de su plan, su sitio web se limpiará entre 6 y 30 horas.

Aunque los resultados del escaneo de Sucuri indicaron que nuestro sitio web no tenía malware, obviamente sabíamos que ese no era el caso. Había malware por todas partes: en los archivos y en la base de datos. También teníamos un montón de puertas traseras allí por si acaso. Los escáneres de MalCare confirmaron que nuestros sitios de prueba estaban infestados de malware.

Entonces, presentamos una solicitud de eliminación de malware a Sucuri, lo que indica claramente que sospechamos que hay malware en el sitio. Para realizar una solicitud, debe completar un formulario y proporcionar detalles de FTP para la limpieza. Y luego esperar los resultados.

Nota al margen: había un menú desplegable interesante en el formulario de solicitud de eliminación que enumera los posibles síntomas que puede estar viendo. Además, para nuestra diversión, tenía que indicar su nivel de competencia técnica, por lo que seleccionamos: “ Sin competencia, explique todo claramente. ”

Gracias a Sucuri, su equipo eliminó todo el malware de nuestro sitio. Además, a pesar de que los términos de nuestro plan decían que podíamos esperar una resolución en 30 horas, recibimos una respuesta en menos de 10. Eso fue un gran aplauso para el servicio de eliminación de malware de Sucuri.

Confirmamos con MalCare que se eliminó todo el malware y luego nos sorprendió ver que el escáner de Sucuri ahora marcaba el sitio como infectado, después de que su equipo lo limpiara. Eso fue extraño.

Por otro lado, iThemes no puede limpiar el malware, por lo que no había nada que probar. Afortunadamente, no afirman hacerlo en su sitio web.

Francamente, la limpieza de malware es la parte más difícil de la seguridad de WordPress y, a menudo, el aspecto más costoso. Los planes pagos de Sucuri tienen limpiezas ilimitadas, lo cual es fantástico porque si no se abordan las vulnerabilidades, el malware puede volver a aparecer. Si tuviéramos un fallo a encontrar con el servicio de limpieza sería que hay que esperar un tiempo a que se resuelva. En el caso del malware, hemos visto que las infecciones crecen exponencialmente en cortos períodos de tiempo, por lo que esto es motivo de preocupación.

Con MalCare, podríamos usar la función de limpieza automática para deshacernos del malware en minutos. Mientras esperábamos que Sucuri se pusiera en contacto con nosotros, nos dimos cuenta del inmenso valor que tiene una limpieza rápida para un sitio web crítico para el negocio.

cortafuegos

El firewall de Sucuri funciona y mantiene nuestros ataques más comunes. iThemes no tiene un cortafuegos.

Un firewall es un componente crítico en la seguridad del sitio web, ya que evitan el tráfico malicioso y evitan las vulnerabilidades. En este punto del artículo, no te sorprendería saber que iThemes no tiene un firewall. ¿Por qué lo haría? Falla en todos los demás aspectos como complemento de seguridad.

Sucuri, por otro lado, protegió nuestro sitio web de los ataques de wordpress. Lo probamos contra vulnerabilidades como cargas de archivos sin restricciones, XSS e inyección de SQL. El cortafuegos bloqueó todos nuestros intentos de explotar estas vulnerabilidades y cargar malware en el sitio web. No pudimos probar ataques más complejos, con toda transparencia.

Por lo tanto, el firewall de Sucuri funciona, pero también debemos mencionar lo frustrante que fue configurar el firewall. La forma en que funciona el firewall es que actúa como una capa entre el tráfico entrante y su sitio web. Por lo tanto, todo el tráfico golpea primero el firewall de Sucuri y luego se redirige a su sitio web.

Como puede imaginar, esto requiere cierta configuración. El dominio que utiliza para su sitio web debe apuntar primero a Sucuri, se analiza el tráfico y luego el tráfico permitido se envía a su sitio web. Lo cual es excelente, pero es una molestia configurar el firewall si no tiene experiencia con los servidores de nombres y la configuración de DNS.

En general, es mucho mejor tener una solución de seguridad que funcione de inmediato. Ninguna configuración compleja para proteger nuestro sitio web. Ya sabes, como el tipo que obtienes con MalCare.

Detección de vulnerabilidades

Sucuri detectó la mayoría de las vulnerabilidades en nuestro sitio web, aunque no todas. iThemes no encontró ninguno.

Después de habilitar el escáner del lado del servidor, Sucuri detectó que teníamos algunos complementos vulnerables instalados en el sitio web. No los detectó a todos, y la recomendación fue simplemente actualizarlos.

Además, hay una vista posterior a la piratería en wp-admin que enumera los complementos y temas instalados actualmente, sus versiones instaladas y las últimas versiones disponibles. En la descripción de esta sección, Sucuri menciona que las vulnerabilidades están ligadas a la seguridad del sitio web y es una buena práctica mantener todo actualizado. Es poco probable que alguien aterrice allí en un vistazo de rutina a través del complemento, por lo que no estamos seguros de que la ubicación sea útil.

Como parte de la solicitud de eliminación de malware, Sucuri también nos envió un mensaje para recomendarnos que apliquemos medidas de refuerzo y actualicemos nuestros (2 de 3) complementos vulnerables. Esto es parte de su lista de verificación posterior al hackeo.

iThemes no marca las vulnerabilidades. Sin embargo, tiene un contador extremadamente inútil en el tablero, que indica cuántas actualizaciones se han realizado desde el momento en que se instaló el complemento. Cómo esta información puede ser útil, no podemos comprender.

Protección de inicio de sesión de fuerza bruta

Se supone que Sucuri bloquea los ataques de fuerza bruta y te alerta, pero tampoco lo hace. iThemes a veces lo hace, a veces no. Difícil decir cuál es peor.

iThemes registra cada intento de inicio de sesión incorrecto como un ataque de fuerza bruta, lo que, francamente, es aterrador de ver para un usuario. En un caso, realmente olvidamos la contraseña.

Cuando probamos la fuerza bruta en la página de inicio de sesión, vimos resultados desiguales. iThemes bloqueó los intentos en 1 sitio pero no en el otro. Intentamos averiguar qué estaba causando esta discrepancia, pero la única diferencia era el malware en el sitio web. Dado que el malware suele ser una consecuencia de ataques de fuerza bruta exitosos, no creemos que esta sea la razón. Lo más probable es que parezca que hay un error que hace que la característica funcione esporádicamente. En efecto, no tiene sentido.

Sucuri nos dio esperanzas, porque hay un conjunto granular de opciones para los ataques de fuerza bruta. Puede establecer el número de intentos fallidos que cuentan como un ataque de fuerza bruta. Lo configuramos en unos modestos 30 intentos por hora, aunque los ataques de inicio de sesión suelen ser de varios 100 intentos por minuto.

Después de ver todas las configuraciones para los bloqueos, estábamos un poco preocupados por no poder acceder al sitio. Habíamos desactivado MalCare para que la protección de inicio de sesión de MalCare no bloqueara el intento. Sin embargo, no pasó nada. Probamos más de 40 inicios de sesión incorrectos en 3 minutos y, sin embargo, Sucuri no generó una alerta. Revisé los registros de auditoría y la autenticación fallida aparece bien. Pero, no hay alertas. Sin bloqueos. Nada.

Registro de actividades

iThemes tiene una función de registro de actividad incompleta. Sucuri tiene uno bueno, pero puede ser oscuro.

Sucuri tiene una función llamada Registros de auditoría, que rastrea todas las acciones de los usuarios, complementos y temas. La función funciona como se esperaba, sin embargo, una de las configuraciones nos detuvo. Necesita una clave API para "evitar que los atacantes eliminen registros". Básicamente, esto autoriza a Sucuri a recopilar y almacenar datos sobre el sitio web fuera del sitio, lo cual está bien, pero el lenguaje que usan es discordante, por decir lo menos. Más sobre eso en la sección de usabilidad.

Si bien los registros funcionan como registros y recopilan la marca de tiempo, el usuario y la acción, pueden ser muy oscuros. Por ejemplo, instalamos un nuevo complemento que aparece como complemento activado. Hasta ahora, todo bien. Y hay 7 entradas más en el registro que muestran lo que ha afectado la instalación. Pero hay poca explicación de lo que significan estas entradas. ¿Son estos archivos o carpetas cambiados, tal vez? No, luego nos dimos cuenta de que este complemento en particular, que es un complemento de galería, cambió la plantilla para las publicaciones. Eso tiene sentido, pero la revelación no vino de Sucuri.

Un registro de actividad es una parte importante del conjunto de herramientas de seguridad de su sitio web. Los piratas informáticos aprovechan el registro insuficiente para atacar sitios, por lo que debe esperar un registro confiable en el que pueda confiar para compartir información correcta sobre su sitio web.

Básicamente, no como el que tiene iThemes. El registro de actividad aquí tiene información útil, como actividad del usuario, administración de versiones, escaneos del sitio y ataques de fuerza bruta. Sin embargo, nada sobre complementos o temas. También hay una función separada que le envía un correo electrónico con un informe de cambio de archivo todos los días. Con todo, los registros son inadecuados porque no pintan una imagen precisa de su sitio web.

Autenticación de dos factores

iThemes tiene una excelente función de autenticación de dos factores que funciona de inmediato. Sucuri no.

Después de destrozar iThemes en este y otros artículos similares de la serie, nos complace informar que esta es una de las únicas características de seguridad que realmente funciona en iThemes, y funciona bastante bien en eso.

La función de autenticación de dos factores en iThemes es muy sólida. Tiene un montón de personalizaciones y funciona de inmediato sin problemas. El complemento también ayuda a aplicar contraseñas seguras, por lo que recomendamos encarecidamente.

Nuestra única preocupación aquí es que la versión pro de iThemes tiene un montón de configuraciones que eliminan los tokens de inicio de sesión para facilitar su uso: inicio de sesión sin contraseña, dispositivos confiables, enlaces mágicos, etc. Si bien estos son útiles para suavizar el proceso de inicio de sesión, anulan el propósito de la autenticación de dos factores.

Buscamos la autenticación de dos factores cuando probamos Sucuri. Encontramos que existe en el tablero de Sucuri. Sin embargo, nos divirtió y desconcertó darnos cuenta de que la autenticación de dos factores está disponible para su cuenta de Sucuri, no para su sitio web de WordPress.

Uso de recursos del servidor

iThemes no agotará los recursos de su servidor en absoluto, porque no hace nada. Sucuri paralizará el rendimiento de su sitio web con sus escaneos.

Curiosamente, la gente no suele preguntarnos sobre los recursos del servidor en el contexto de la seguridad. Pero idealmente, desea que su sitio web esté protegido y que no se ralentice en el proceso. El escáner de Sucuri hará eso en su sitio.  

Los escaneos de Sucuri afirman utilizar directamente los recursos del servidor del sitio web. De hecho, parecen desalentar los escaneos frecuentes por ese motivo. Francamente, esto es terrible. ¿Por qué alguien debería tener que elegir entre rendimiento y facturas de servidor razonables por un lado y seguridad por el otro? Aunque no estaban bromeando. Hubo un gran aumento en los recursos del servidor tan pronto como instalamos Sucuri y luego ejecutamos un segundo análisis. Si en un sitio pequeño la diferencia es tan notable, en un sitio grande será bastante mayor.

Además, en Configuración general en el tablero, hay una configuración para Almacenamiento de datos que parece indicar que Sucuri almacena una gran cantidad de datos (registros principalmente por su apariencia) en el sitio web mismo. Esta es probablemente la razón por la que se necesita una clave de API, porque todo está en la carpeta de carga de forma predeterminada, que es una carpeta de acceso público. Hay una opción para cambiar el almacenamiento a una carpeta de acceso no público, pero esa debería haber sido la opción predeterminada para empezar.

iThemes no agotará los recursos de su servidor. ¿Cómo puede hacerlo, cuando no hace nada?

Alertas

iThemes no te avisa de nada. Sucuri lo hace, pero debe tener cuidado con las alertas que desea recibir. Su bandeja de entrada podría llenarse en horas.

Sucuri le permite configurar alertas para enviar a personas específicas, personalizar el formato de las alertas y mucho más. También puede agregar rangos de direcciones IP para que esas direcciones no se marquen para alertas. Sin embargo, tenga cuidado con las descripciones llenas de jerga. ¿Qué es el ' enrutamiento entre dominios sin clase '? No queríamos saber, solo queríamos proteger el sitio web.

A juzgar por la configuración granular de las alertas, Sucuri parece ser muy consciente de que potencialmente envían demasiadas alertas. Hay una configuración para configurar el máximo de alertas recibidas en una hora, digamos hasta 5 correos electrónicos. El problema con esto es: supongamos que los primeros 5 fueron falsos positivos y el 6 no lo es. Hay un descargo de responsabilidad allí, pero nuevamente, es mejor tener la información real en lugar de una característica inútil. Nuestra conclusión aquí es que ningún administrador va a ver el bosque por los árboles. Simplemente hay demasiado ruido.

Sorprendentemente, todavía estamos revisando iThemes, sin dejarlo por una causa perdida. iThemes nos envió informes de notificación de cambios de archivos, copias de seguridad de bases de datos y otras confirmaciones de nuestra configuración. También nos suscribimos a un resumen de seguridad diario sobre nuestro sitio web y a un informe de vulnerabilidades una vez a la semana, presumiblemente para que podamos compararlos con nuestros sitios web. Ya era bastante malo con un sitio, con más sitios podría salirse completamente de control.

Instalación, configuración y usabilidad

La instalación de iThemes fue sorprendentemente difícil debido a las confusas opciones de configuración. Sucuri fue bastante sencillo, pero las opciones de configuración en el complemento fueron terriblemente desalentadoras.

iThemes fue el primer complemento que probamos, por lo que inicialmente parecía fácil. También estableció el estándar para las configuraciones más inútiles. Tienes que pasar por una configuración para poder crear un panel de seguridad. Revisamos cada una de las configuraciones, pero ninguna de ellas tiene un impacto real en la seguridad, por lo que las configuramos al azar y las dejamos así.

Sucuri se instaló sin problemas, y el complemento se configuró solo. Tuvimos que crear una cuenta con Sucuri para acceder a las funciones pagas. Además, vale la pena señalar que para instalar el escáner del lado del servidor, debe usar el panel externo de Sucuri. No es difícil de hacer si tiene detalles de FTP disponibles, aunque no vemos mucho sentido porque no detectó ningún malware.

El panel de control de iThemes en su wp-admin es ruido. No hay información relacionada con la seguridad que sea relevante.

El tablero y la configuración de Sucuri son increíblemente complicados. Pasamos horas tratando de averiguar qué quieren decir con los términos técnicos que usan. En algunos casos, el complemento le indica la configuración recomendada, por lo que el usuario está trabajando esencialmente con fe ciega. El único problema es que Sucuri no inspira una fe ciega, ¡porque su escáner de malware no funciona!

Deseamos que este complemento fuera más fácil de entender. Parece muy complicado y parece hacer muchas cosas, pero no podemos estar seguros porque algunas de las cosas que sabemos que son importantes, como la protección de fuerza bruta, no parecen funcionar.

El firewall y el escáner del lado del servidor deben habilitarse por separado. Nos tomó más de una semana descubrir este complemento con 3 sitios web. Nos estremecemos al pensar qué le pasaría a alguien que maneja más. Es tan tedioso de configurar.

Queremos reiterar que la configuración es difícil de entender para los usuarios no tecnológicos. No sabíamos que había algo llamado software de análisis de registros. También vimos mensajes interesantes para el proxy inverso, donde Sucuri amablemente nos dice que no nos preocupemos por esta opción a menos que sepamos de qué se trata. Gracias por la confusión con un lado de la condescendencia.

iTemas: Extras

Hay una función de lista blanca muy elaborada en iThemes, lo que fue sorprendente hasta que nos dimos cuenta de que parece haber una cantidad excesiva de quejas de bloqueo de sitios que hemos visto. Hay dos problemas con esto: uno es que las IP del dispositivo cambian, por lo que incluir su IP en la lista blanca no es una protección tan grande como cree que es; y dos, intentamos todo lo posible para desencadenar un cierre patronal. Pero no sucedió.

El monitor de cambio de archivos es otra característica que parece una buena idea, a menos que sepa algo sobre seguridad. Los piratas informáticos pueden cambiar las marcas de tiempo de los archivos, incluso hasta el punto de hacer que parezca que el archivo no ha sido editado durante años. Además, hay una lista de exclusión de tipo de archivo para este monitor. Francamente, esto muestra una falta de comprensión del malware. El malware puede ocultarse en cualquier archivo, incluidos los archivos .ico, por ejemplo.

iThemes tiene un buen sistema de administración de contraseñas. Puede aplicar contraseñas seguras y negarse a permitir contraseñas comprometidas. También es posible establecer contraseñas de aplicación para XML-RPC si lo desea.

Por último, iThemes tiene algunas características de refuerzo, la mayoría de las cuales no recomendamos en absoluto. El único que tiene sentido es bloquear la ejecución de PHP en la carpeta de carga. Esto previene cierto tipo de ataque de malware. Los demás, recomendamos ignorarlos por completo.

Sucurí: Extras

El panel de control de Sucuri en wp-admin se ve bastante impresionante, pero desde el principio vimos que el cuadro de información más grande es la integridad de WordPress. Con suerte, esto es solo para la versión gratuita que estamos usando actualmente, porque esta es esencialmente una versión disfrazada de un monitor de cambio de archivos para los archivos principales de WordPress.

En algunos casos, podríamos ver que es útil, considerando que una gran cantidad de malware ingresa a los archivos principales. Por el contrario, también podemos ver que puede ser una sinecura porque las personas sin experiencia pueden creer que ese es el alcance del malware, lo cual es un pensamiento aterrador. Curiosamente, 2 de los 3 archivos de integridad de wordpress que marcó eran de MalCare: el conector de emergencia y el firewall.

Más profundo en la configuración, hay una utilidad de diferencia de integridad para comparar archivos principales y encontrar diferencias. Esto podría ser más fácil de usar que una utilidad de verificación de diferencias en línea.

Había un número considerable de opciones de endurecimiento: algunas útiles, otras no tanto. Nos gustó poder bloquear PHP en la carpeta de carga, el firewall y activar la actualización automática de claves secretas, que cambia las sales de wordpress.

Sin embargo, verificar la versión de WordPress, eliminar la versión de WordPress, evitar la fuga de información (elimina el archivo Léame que WordPress simplemente recrea) y verificar la cuenta de administrador predeterminada son funciones tontas con un impacto de seguridad minúsculo. Francamente, toda la industria de la seguridad se ha alejado de estos trucos.

Si elige deshabilitar el complemento y el editor de temas, la actualización le resultará complicada. Incluye una advertencia sobre algunos complementos y temas que necesitan acceso a archivos PHP en estas carpetas. Esto es inadecuado. Caso en cuestión: los mismos Sucuri guardan archivos PHP en la carpeta de carga. ¿No quieren acceder a sus propios archivos desde su panel externo? ¿O es una excepción a la regla? En cuyo caso, la regla parece flexible en formas que están ocultas para el usuario.

Nos interesó comprobar la función posterior al hackeo en el panel de control de wp-admin. Después de la limpieza, querrás asegurarte de hacer todo lo posible para proteger tu sitio web de futuros ataques. Nos gustó la idea, hasta que miramos un poco más allá.

Puede actualizar las claves secretas (cambiar sales de wordpress) desde el tablero. El único problema con esto es que está en texto sin formato, visible para todos los administradores que iniciaron sesión en wp-admin. Si un hacker tiene una cuenta con acceso de administrador, esto es ridículamente peligroso. Esta característica solo tiene sentido si un usuario ha verificado que ninguna de las cuentas de administrador está comprometida y luego cambia las sales. Un punto que no se menciona en ninguna parte.

Puede restablecer las contraseñas de los usuarios. Nuevamente, una característica aparentemente buena hasta que lee la letra pequeña: “Seleccione usuarios de la lista para cambiar sus contraseñas, finalice sus sesiones y envíeles un correo electrónico con un enlace para restablecer la contraseña. Tenga en cuenta que el complemento cambiará las contraseñas antes de enviar los correos electrónicos, lo que significa que si su servidor web no puede enviar correos electrónicos, sus usuarios no podrán acceder al sitio”.

Hay un lugar para ver las actualizaciones de complementos y temas disponibles, que es la gestión básica de versiones. No agrega nada a la funcionalidad del panel de administración existente. Sin embargo, puede servir para educar a las personas acerca de que los complementos y temas obsoletos están relacionados con la seguridad.

Lo que falta en iThemes Security y Sucuri

iThemes no tiene un firewall, lo cual es una grave laguna para la seguridad de WordPress. Los cortafuegos protegen los sitios de ciertos tipos de ataques y son invaluables si su sitio web tiene vulnerabilidades.

El escáner de malware de Sucuri no es adecuado. Entonces, aunque el servicio de eliminación de malware es excelente, debe adivinar que hay malware en su sitio web porque el escáner no lo marcará.

iThemes Security vs Sucuri: Precios

El plan de plataforma básica de Sucuri a $ 199.99 al año por sitio es una buena oferta para los servicios ilimitados de eliminación de malware. Sin embargo, teniendo en cuenta que se supone que también tiene un escáner en funcionamiento, eso es todo lo que su submarino obtendrá para usted. iThemes no vale nada. Simplemente no te molestes.

Hemos dejado muy clara nuestra opinión sobre iThemes en este artículo. La única característica que vale la pena mencionar en iThemes es la autenticación de dos factores, que está disponible en el plan gratuito. Definitivamente no recomendamos el plan Pro.

El precio de Sucuri es una ganga para un servicio de eliminación de malware, pero el truco es el escáner. Si no sabe que tiene malware, no puede enviar una solicitud de eliminación.

Mejor alternativa a iThemes Security y Sucuri: MalCare

Invierta en un buen complemento de seguridad que escaneará, limpiará y protegerá su sitio web de los piratas informáticos. De todos los complementos que probamos para esta serie, MalCare se destaca como la mejor opción. MalCare triunfa sobre iThemes en, bueno, todo, y busca malware mejor que Sucuri.

De hecho, el plan básico de $ 99 de MalCare es mejor que el plan de plataforma básica de $ 199.99 de Sucuri, con la eliminación instantánea de malware también. También incluye limpiezas ilimitadas

Conclusión

La seguridad de su sitio web es de suma importancia. Hemos visto a muchos clientes escatimar en un complemento de seguridad, solo para enfrentar pérdidas devastadoras después de un ataque. Un cliente se dio por vencido después de un punto y decidió reconstruir su sitio web desde cero. El malware es caro, MalCare no lo es.

¿Te ayudó el artículo a tomar una decisión? ¡Nos encantaría saberlo! Envíenos una línea.