iThemes Security vs Wordfence: ¿Qué complemento de seguridad debería elegir?

iThemes Security parece una gran oferta por solo $ 199 para sitios web ilimitados, y debido a su precio imbatible, ha sido un serio competidor en la carrera de complementos de seguridad de WordPress.

En la otra esquina tenemos a Wordfence, el peso pesado indiscutible de esta categoría. Wordfence es conocido por el complemento gratuito con muchas funciones y su investigación y recursos de seguridad. Para la versión premium, cada sitio le costará un mínimo de $99 al año; que sigue siendo un buen negocio.

Incluso en esta etapa, no existe una comparación real entre los dos. Sin embargo, hicimos pasar a ambos por una batería de pruebas.

En esta serie, los 5 principales complementos de seguridad atravesaron batallas estilo gladiador con malware, ataques y vulnerabilidades. ¿Cuál salió ganador? Siga leyendo para averiguarlo.

VEREDICTO iThemes Security vs Wordfence es una competencia desigual. El complemento gratuito de Wordfence es muchísimo mejor que el complemento premium de iThemes Security. Wordfence tiene sus desventajas, pero al menos protege el sitio web hasta cierto punto. iThemes, no tanto.

nuestra selección

En esta serie, queríamos probar los principales complementos de seguridad de WordPress para descubrir cuál funciona realmente. Para eso, creamos 3 sitios web: uno era un blog simple, con algunos complementos y temas, como control. El segundo sitio web tenía 3 complementos obsoletos con vulnerabilidades. Elegimos complementos que iban desde populares hasta oscuros, y tenían un conjunto de vulnerabilidades. Y finalmente, teníamos un sitio web plagado de malware.

3 sitios web, 5 complementos, 45 días. Probamos escáneres de complementos, limpiadores, cortafuegos, protección contra bots, cortafuegos, registros de actividad y mucho más. Tomamos en cuenta el malware nuevo, el malware antiguo, el malware basado en archivos, el malware de base de datos, los ataques de redirección, los ataques farmacéuticos, las inyecciones de SQL, los ataques de fuerza bruta y mucho más.

Los resultados fueron claros: solo MalCare pudo escanear, limpiar y proteger los sitios web de prueba. Si está buscando tranquilidad con la seguridad de su WordPress, MalCare es el camino a seguir.

Resumen de la comparación iThemes Security vs Wordfence

iThemes Security vs Wordfence es una obviedad: Wordfence hasta el final.

Consideremos la seguridad de WordPress como un espectro entre dos extremos: sin protección y una falsa sensación de seguridad por un lado, y falsos positivos y advertencias terribles por el otro. iThemes Security te da una falsa sensación de seguridad, y Wordfence es el que te mantiene en un estado de miedo casi constante.

En nuestra opinión ponderada, ambas no son buenas opciones. Sin embargo, Wordfence tiene una excelente versión gratuita que protegerá tu sitio web en gran medida, mientras que incluso la versión premium de iThemes Security no hará nada para proteger tu sitio web. Nuestro consejo para evitar ambos extremos y optar por un buen complemento de seguridad.

La seguridad de iThemes en pocas palabras

iThemes Security es, con mucho, el peor complemento de seguridad de WordPress que hemos visto. Tiene algunas características buenas, como autenticación de dos factores y compatibilidad con contraseñas seguras, pero eso es todo. No hay un escáner de malware, no puede limpiar el malware y no tiene sentido hablar de un firewall. De hecho, si usa iThemes en este momento, escanee su sitio web de inmediato.

Dato curioso: iThemes fue el primer complemento de seguridad que probamos. El sitio web y todo el proceso de configuración nos dieron la impresión de que sí, estos muchachos saben de qué se trata la seguridad de WordPress. Sin embargo, desafortunadamente, ninguno de esos conocimientos parece haber llegado al complemento real.

iThemes Security es un escáner de malware, en efecto, porque no existe un mecanismo para limpiar el malware. El sitio web tampoco dice que hay un firewall. Esto no es genial, porque el escaneo es uno de los pilares de la seguridad de WordPress, pero no el único. Sin embargo, puede improvisar una combinación de varios complementos para brindarle esa funcionalidad, si tiene un escáner decente en primer lugar.

Ah, pero ese era el problema. iThemes no es un escáner de malware. No es un escáner de vulnerabilidades. Escanea la lista negra de Google para su sitio web. Ya sabes, lo mismo puedes hacer desde la página del Informe de Transparencia, sin necesidad de instalar un plugin. El mayor regalo fue que el escaneo duró segundos. No hay forma de que un escáner pueda revisar todos los archivos y carpetas del sitio web en segundos literales.

La protección de fuerza bruta para la página de inicio de sesión era irregular e inconsistente, y el registro de actividad era inútil. Más sobre eso más adelante.

En el lado positivo, iThemes Security tiene una excelente función de autenticación de dos factores. También nos gustó lo fácil que fue implementar reCAPTCHA en wp-login. Y finalmente, la configuración de administración de contraseñas de usuario fue realmente granular y detallada. Además, hay algunas características decentes de refuerzo de WordPress, como bloquear la ejecución de PHP en carpetas.

En general, probar iThemes Security fue una experiencia reveladora. Nos tomamos la seguridad muy en serio y nos sorprendió ver cómo la palabrería inteligente y un conjunto de características engañosas pueden engañar a los administradores para que piensen que sus sitios están protegidos. De hecho, recomendamos encarecidamente a los usuarios de iThemes que reconsideren su seguridad por completo y escaneen su sitio web de inmediato.

Wordfence en pocas palabras

Wordfence es el mejor complemento de seguridad gratuito que hemos encontrado después de MalCare. Lo recomendamos encarecidamente para sitios web que tienen un presupuesto absolutamente nulo para la seguridad. El firewall bloquea la mayoría de los ataques, el escáner detecta la mayoría del malware basado en archivos y la función de reparación de malware lo ayudará a deshacerse de la mayoría. La desventaja es que habrá una tonelada de falsos positivos, algún malware perdido y los servicios de limpieza de emergencia son exorbitantes.

Estábamos emocionados de probar Wordfence, porque es el complemento de seguridad más utilizado. Y después de algunas experiencias horribles (léase: iThemes), sería genial ver cómo el complemento se ocupó de la seguridad de WordPress.

Entraremos en más detalles en secciones posteriores, pero primero queremos hablar sobre los aspectos principales de la seguridad.

Wordfence tiene un escáner decente, que detectó todo el malware basado en archivos que teníamos en nuestros complementos y temas gratuitos. Pero, hay algunas advertencias importantes sobre su eficacia. El escáner no puede detectar malware basado en bases de datos, ni el malware en complementos y temas premium. Además, tuvo un costo notable en nuestro sitio web incluso para ejecutar el escaneo.

A continuación, probamos la reparación automática de malware. Para nuestro deleite, reparó todo el malware basado en archivos del sitio web casi de inmediato; aunque no el malware basado en bases de datos. Ahora que lo pienso, este no es un gran rendimiento para un limpiador, pero obviamente fue mejor que los demás en esta serie de pruebas y nos complació mucho ver la diferencia.

El cortafuegos fue bastante efectivo, bloqueando la mayoría de los principales y comunes ataques de WordPress que plagan el sitio web. Una molestia que tenemos aquí es que el firewall genera un montón de alertas para nosotros. ¿Realmente necesitamos saber que alguien de Alemania intentó piratear nuestro sitio web 20 veces en los últimos 5 minutos en 20 notificaciones separadas? No, no lo hacemos. Nuestra bandeja de entrada se inundó de alertas de Wordfence en unos pocos días y fue imposible separar el trigo de la paja. Además, los usuarios gratuitos obtienen actualizaciones de firewall más tarde que los usuarios premium, por lo que existe una ventana de oportunidad para que los piratas informáticos irrumpan en sitios web desprotegidos.

De lo contrario, también hay algunas características de seguridad. Wordfence ejecuta un barco esbelto, y todas las demás funciones, como la actualización de complementos cuando se detectan vulnerabilidades, se dejan en manos de wp-admin. Tiene sentido, porque ¿por qué duplicarlo en el mismo tablero? Tiene una protección de fuerza bruta bastante buena y la autenticación de dos factores es sólida.

También nos enamoró la inmensa usabilidad del complemento. El lenguaje es accesible y directo, sin el uso de una jerga excesiva. Las funciones más avanzadas destinadas a usuarios avanzados también están escondidas en la configuración.

Sin embargo, nos sorprendió notar que no hay un registro de actividad como tal, salvo una lista muy ilegible destinada a los desarrolladores de Wordfence. Además, no hay protección contra bots para el sitio web. Finalmente, y lo más condenatorio para este complemento, se necesita una gran cantidad de recursos del servidor para funcionar. Tanto es así que los servidores web han prohibido el uso de Wordfence por completo.

Con todo, Wordfence es un complemento de seguridad excelente, pero no el mejor para su sitio web. MalCare es el camino a seguir con un excelente escáner, limpieza efectiva de malware y un firewall avanzado con actualizaciones en tiempo real.

Qué buscar en un complemento de seguridad

La seguridad de WordPress puede ser una bestia confusa con la que lidiar, especialmente con la considerable información errónea que está disponible en línea. Una cosa es segura, los piratas informáticos pueden costarle ingresos, negocios, demandas, gastos de bolsillo, marca, tráfico orgánico y mucho más. El complemento de seguridad adecuado contrarrestará todo eso, además de ahorrarle tiempo y dinero para invertir en otras áreas de su negocio.

A menudo nos encontramos con la pregunta: ¿cómo elige el complemento de seguridad adecuado para su sitio web de WordPress?

La respuesta suele ser una larga lista de funciones. Algunos son vitales, otros no tanto. Pero cada complemento quiere venderle sus más de 100 funciones, la mayoría de las cuales tienen poco o ningún impacto en la seguridad de su sitio web. Pero la lista confundirá el problema lo suficiente como para que la seguridad de WordPress vuelva a ser un dolor de cabeza.

Así que compilamos esta lista esencial (¡y breve!) de funciones de seguridad. Debe buscar un complemento de seguridad que marque casi todo en esta lista y obtenga otras soluciones para las funciones que no tiene.

• Funciones de seguridad esenciales
  • Escaneo de malware
  • Limpieza de malware
  • cortafuegos
• Características de seguridad buenas para tener
  • Detección de vulnerabilidades
  • Protección de inicio de sesión de fuerza bruta
  • Registro de actividades
  • Autenticación de dos factores
• Problemas potenciales
  • Impacto en los recursos del servidor

El único complemento que se acerca a todas las casillas es MalCare. Al elegir MalCare, se asegura de que su sitio web obtenga la mejor seguridad disponible de los piratas informáticos y su malware.

iThemes Security vs Wordfence: comparación directa de características

En esta sección, hemos detallado nuestros hallazgos en caso de que esté interesado en leer más sobre una característica específica. Después de 45 días de pruebas, obtuvimos mucha información y muchos hallazgos. Todo lo que se resume aquí para su placer de lectura.

Las características están ordenadas de mayor a menor importancia, y evaluamos ambos complementos en cada factor. Nuestro objetivo era presentar todo lo que encontramos de la manera más justa posible, por lo que no nos hemos retenido en ninguna parte.

Sin embargo, si solo desea llegar al quid de este ejercicio, instale MalCare y no tendrá que escuchar algunos de los horrores que descubrimos.

Escaneo de malware

El escáner de Wordfence detectó malware basado en archivos en nuestro sitio web de prueba, pero no el malware en nuestra base de datos. También pasó por alto el malware en complementos y temas premium. iThemes Security no analizó nuestro sitio web en primer lugar, por lo que obviamente no iba a encontrar ningún malware.

Después de instalar Wordfence, configura el primer escaneo automáticamente. Hasta aquí muy bien. Dejó el escáner para terminar y exploró las otras funciones durante unas horas. Solo para ver que todavía estaba atascado en el 60%. Teniendo en cuenta que el sitio era bastante pequeño, ¿qué pasa?

Resulta que el 60 % no es una barra de progreso, sino un porcentaje que indica la eficacia del escáner gratuito. Para obtener un 100% completo, deberá actualizar a la versión pro del complemento. Está bien, pero la forma en que se mostraba en el tablero era muy confusa.

Reiniciamos el escaneo y nos complació ver que terminó muy rápido. El escáner marcó la mayor parte del malware, aunque no todo. El malware que pudo detectar fácilmente estaba en los archivos principales de WordPress y en los archivos y carpetas de complementos y temas gratuitos. Se perdió el malware de redirección pirateado en la base de datos y cualquier archivo que estuviera en complementos y temas premium.

Lanzamos una gran cantidad de malware basado en archivos en Wordfence, y detectó casi todo. Tiene una extensa base de datos de malware para el algoritmo de coincidencia de firmas, por lo que esperamos que detecte entre el 70 y el 80 % del malware. Eso no es tan bueno como el 95%, como con MalCare, pero es mucho mejor que todos los demás complementos de seguridad que existen. La detección, después de todo, es la mitad de la batalla.

Las advertencias que tenemos con Wordfence son que hay un montón de alertas y una gran cantidad de falsos positivos. Estos dos factores pueden hacer que las alertas pierdan su impacto con el tiempo, y entonces existe un peligro real de que una alerta genuina pase desapercibida. Además, los escaneos requieren muchos recursos del servidor para ejecutarse. Hablaremos más sobre eso en una sección posterior.

El escáner iThemes no busca malware en absoluto. Comprueba si su sitio web está en una lista negra, y eso también es solo una lista negra. Sucuri también tiene esta verificación, pero tuvieron la decencia de, en primer lugar, no etiquetarlo como un escáner y, en segundo lugar, verificar más que solo la lista negra de Google. Nuestros sitios de prueba obviamente no estaban en la lista negra, porque no están indexados. Entonces, ¿cuándo el informe de escaneo de malware de iThemes nos dio una ficha limpia para un sitio lleno de malware? No me impresionó.

Limpieza de malware

iThemes Security no tiene limpieza de malware, automática o de otro tipo. Wordfence puede reparar archivos de malware, pero la efectividad depende del malware detectado. Wordfence tiene un servicio de eliminación de malware premium, que cuesta $ 490 por sitio.

Una vez que finaliza el escaneo, Wordfence enumera 2 opciones para tratar con archivos pirateados, además de un CTA para obtener ayuda profesional: elimine todos los archivos eliminables y repare todos los archivos reparables.

La opción de eliminación eliminó 1 archivo con éxito y sin errores, después de mostrar un mensaje aterrador sobre cómo la eliminación de archivos puede dañar su sitio web. Es cierto, ¡pero el malware también da miedo! De todos modos, la opción era algo así como un detonador húmedo, así que pasé a la opción de reparación. La opción de reparación tenía una advertencia similar, pero funcionamos y fue capaz de reparar la mayoría de los archivos. Cuando ejecutamos el sitio a través del escáner de MalCare, el sitio estaba libre de malware.

La mayoría de los otros complementos de seguridad fallaron en este momento, por lo que no tuvimos que probar mucho más. Habíamos obtenido nuestros resultados. Sin embargo, la base de datos de firmas de malware de Wordfence es completa, por lo que ampliamos la red.

Agregamos el malware de redireccionamiento pirateado a la base de datos de nuestro sitio web, con algunas instancias de la palabra clave japonesa hack por si acaso. También escondimos trozos de malware en nuestros complementos y temas premium, sospechando que estas cosas harían tropezar al escáner y al limpiador. Y lo hicieron.

La conclusión que surgió fue que si el equipo de Wordfence ha visto el malware, la reparación de los archivos funciona. De lo contrario, no lo hace. Wordfence también falla cuando hay malware en la base de datos. Por lo tanto, definitivamente se perderá el malware como el del hack de redirección o incluso el malware más nuevo. También perderá malware en archivos de WordPress que no sean del núcleo o complementos y temas no públicos. Wordfence no puede encontrar malware en complementos y temas premium.

En caso de que la reparación automática no funcione, puedes optar por el servicio de eliminación de malware de Wordfence. El servicio elimina malware, puertas traseras y evalúa el sitio en busca de vulnerabilidades. Wordfence también ayuda a eliminar el sitio plagado de malware de cualquier lista negra en la que pueda haber caído. La limpieza del sitio está garantizada por un año, solo si el administrador del sitio sigue las instrucciones posteriores al hackeo al pie de la letra. No podemos comentar sobre la eficacia del servicio de eliminación de malware, ya que no lo probamos.

Como dijimos antes, iThemes Security no puede limpiar el malware, así que no hay nada más que decir al respecto.

Según nuestra experiencia, la limpieza de malware es el aspecto más crítico de la seguridad de WordPress. Definitivamente, solo deberían hacerlo los expertos en seguridad, porque existe un gran potencial de que las cosas salgan terriblemente mal. MalCare le brinda la opción de eliminar automáticamente el malware y acceder a expertos en seguridad para ayudarlo con cualquier problema que pueda surgir.

cortafuegos

iThemes Security no tiene un firewall. Wordfence tiene un firewall de aplicaciones web que protege de la mayoría de las amenazas principales y comunes de manera efectiva. Pero la versión gratuita se actualiza más tarde que la versión premium.

Un firewall de WordPress es una parte importante de su arsenal de seguridad, ya que evita los ataques y el tráfico malicioso mediante el uso de reglas. En la mayoría de los complementos de seguridad que revisamos, evitamos explicar los detalles más técnicos, ya que no tenía sentido porque los firewalls eran terribles o inexistentes. Pero con Wordfence, las cosas se complicaron un poco más.

Cuando instalamos Wordfence, el cortafuegos pasó directamente al modo de aprendizaje. Este es un paso necesario para que el firewall pueda comprender el tráfico normal del sitio y, por lo tanto, bloquear las amenazas de manera más efectiva. Dado que no recibimos tráfico a nuestros sitios web, desactivamos el modo de aprendizaje de inmediato, aunque se recomienda mantenerlo activado durante al menos una semana.

Hay una sección separada para administrar el firewall de Wordfence, por lo que exploramos eso a continuación. La primera vez que lo ve, explica qué es un firewall y qué hace para proteger su sitio web. También introduce el término 'cortafuegos de aplicaciones web' aquí con una breve descripción.

Después de probar los cortafuegos gratuitos y premium, está claro que Wordfence tiene un excelente cortafuegos en ambas versiones. Ambos evitaron una serie de ataques de inyección SQL, falsificaciones de solicitudes entre sitios, inyecciones remotas de código y ataques de secuencias de comandos entre sitios. No pudimos explotar las vulnerabilidades de complementos y temas.

Fue entonces cuando pensamos que deberíamos profundizar más: ¿cuál es la diferencia entre las versiones gratuita y premium?

En las opciones del cortafuegos, Wordfence explica la diferencia: la versión gratuita se carga como un complemento normal, después de que WordPress se haya cargado. Además, la versión premium recibe actualizaciones de reglas en tiempo real, mientras que la versión gratuita recibe actualizaciones después de un período de tiempo no especificado.

Ambas cosas nos dieron pausa.

En primer lugar, un firewall debe cargarse primero para obtener la mejor protección, sin embargo, la mayoría de los complementos de seguridad con firewalls a menudo se cargan después de WordPress como un complemento normal. Si este es el caso, el cortafuegos de Wordfence puede evitar la mayor parte del tráfico malicioso, pero ciertamente no todo.

En segundo lugar, Wordfence tiene el cortafuegos más actualizado; sin embargo, los usuarios que no son premium obtienen actualizaciones más adelante. Incluso esa ventana es problemática, porque los piratas informáticos pueden atacar durante ella. ¿Cuándo recibe actualizaciones de reglas el cortafuegos gratuito: días, semanas o meses después? Quién sabe.

Como era de esperar, iThemes no tiene un firewall.

Detección de vulnerabilidades

iThemes Security no puede detectar vulnerabilidades, y mucho menos ayudar a resolverlas. Wordfence detectó todas las vulnerabilidades que metimos en el sitio web, sin importar si eran populares u oscuras.

Wordfence marcó todos los complementos desactualizados con vulnerabilidades descubiertas correctamente como amenazas críticas. También incluimos un montón de complementos oscuros en la lista, algunos con menos de 200 usuarios. Los otros complementos no pudieron detectar esas vulnerabilidades, por lo que es refrescante ver que Wordfence lo hizo. El escáner incluso marcó complementos desactualizados como una amenaza media, lo cual es excelente porque siempre es bueno mantener todo actualizado.

No puede corregir vulnerabilidades directamente desde el panel de control de Wordfence. La mayoría de los otros complementos, como Jetpack y Sucuri, recomendaron actualizaciones y le permitieron realizarlas desde el mismo panel. Pero mirando alrededor de Wordfence, no hay forma de hacer eso. Sin embargo, lo lleva al panel de actualizaciones, lo cual es lo suficientemente bueno. No hay una razón lógica para replicar la funcionalidad existente que ya existe en wp-admin.

Curiosamente, el escáner también nos mostró errores con los complementos de iThemes y BackupBuddy que habíamos instalado en uno de los sitios de prueba. Parece que hay anomalías de codificación en los complementos.

Esperábamos que el escáner de iThemes buscara vulnerabilidades como mínimo, considerando su falla abyecta como escáner de malware. Si no.

Además de esto, el tablero de iThemes tiene un contador que indica cuántas actualizaciones se han realizado desde que se instaló el complemento. Imaginamos que esta pobre excusa para una métrica se supone que es útil para realizar un seguimiento de las actualizaciones de complementos y temas. Aunque realmente no lo es.

Protección de inicio de sesión de fuerza bruta

iThemes a veces bloquea los ataques de fuerza bruta, a veces no. Wordfence bloquea todos los ataques de fuerza bruta de forma infalible.

Con iThemes, vimos bloques de fuerza bruta inconsistentes. Cuando intentamos ingresar una serie de credenciales incorrectas en la página de inicio de sesión, iThemes solo bloqueó los intentos en 1 sitio pero no en el otro. La única diferencia entre ambos sitios era que el primero tenía malware, mientras que el segundo no. El malware suele ser el resultado de un ataque de inicio de sesión exitoso, por lo que es poco probable que esta diferencia sea la razón. Después de varias horas de probar las pruebas repetidamente, los resultados no fueron concluyentes. Finalmente nos dimos por vencidos tratando de averiguar lo que parece ser un error.

Después de este ejercicio de profunda frustración, revisamos los registros de iThemes. Cada intento de inicio de sesión incorrecto se registró allí como un ataque de fuerza bruta, incluso el momento en que realmente olvidamos nuestra contraseña. Y, sin embargo, el complemento no los bloqueó a todos. Muy extraño y por lo tanto poco fiable.

Con Wordfence, primero miramos la configuración. La protección de fuerza bruta está habilitada de forma predeterminada y puede ir a la sección de firewall para personalizar las opciones.

Puede establecer bloqueos para intentos de inicio de sesión incorrectos, e incluso cuánto tiempo un usuario experimentará bloqueo después de una cierta cantidad de intentos de inicio de sesión incorrectos. Lo que es especialmente bueno es que explican lo que hace cada opción en una excelente documentación y cómo usarla de manera más efectiva para proteger el sitio.

Puede configurar una lista de permitidos para direcciones IP que el firewall no probará. Hemos visto esta función en muchos complementos, pero cambiar las IP de los dispositivos no tiene mucho sentido.

Las opciones de contraseña segura también están aquí. Puede aplicar contraseñas seguras, evitar el uso de contraseñas encontradas en filtraciones de datos y mucho más.

Finalmente, nos pusimos a prueba, y la protección de fuerza bruta funciona exactamente según la configuración que elegimos. Perfecto cada vez.

Registro de actividades

El registro de actividad de iThemes no registra todos los eventos, por lo que es inútil. Wordfence no tiene ningún registro de actividad.

Somos grandes defensores del humilde registro de actividad. Es una herramienta de seguridad necesaria porque los piratas informáticos aprovechan el registro insuficiente para atacar sitios. Idealmente, desea un registro confiable que tenga la información correcta sobre lo que sucede en su sitio web.

Así que no como el que tiene iThemes. El registro de actividad de iThemes promete buena información, como la actividad del usuario, la gestión de versiones, los escaneos del sitio y los ataques de fuerza bruta. Pero estos no se registran con precisión, por lo que no se puede confiar en que presenten la imagen correcta. Aparte de eso, no hay nada sobre complementos o temas.

Wordfence, sorprendentemente, no tiene un registro de actividad. Hay una opción para habilitar la depuración desde la sección Diagnóstico en Herramientas, lo que permite que los registros del firewall sean más detallados. Hay un registro de actividad completo para los eventos de Wordfence solo en la sección Escanear, pero eso no es lo mismo que un registro de actividad. Además, es un registro sin procesar destinado únicamente a los desarrolladores de Wordfence. Al habilitar el modo de depuración, también consumirá más recursos del servidor. Se dice muy claramente en esa sección.

Autenticación de dos factores

iThemes tiene una excelente autenticación de dos factores que funciona a la perfección desde el primer momento. Lo mismo con Wordfence.

La autenticación de dos factores funciona perfectamente en ambos complementos. Ambos tienen un gran conjunto de opciones y una configuración mínima. Con Wordfence, la autenticación de dos factores solía ser una característica premium que ahora también han habilitado para usuarios gratuitos.

Solo tenemos una pequeña observación con la versión pro de iThemes. Hay muchas configuraciones que eliminan los tokens de inicio de sesión en la versión pro: inicio de sesión sin contraseña, dispositivos confiables, enlaces mágicos, etc. En nuestra opinión, se oponen directamente al principio de autenticación de dos factores al facilitar el proceso de inicio de sesión.

Uso de recursos del servidor

iThemes es muy amable con los recursos de su servidor, ya que no hace nada en absoluto. Wordfence en realidad está prohibido por ciertos servidores web debido a su inmenso costo para los recursos del servidor.

Estábamos muy emocionados de poner Wordfence a prueba. Sin embargo, la verdadera sorpresa llegó cuando comprobamos el rendimiento del sitio web. Los escaneos duplicaron, y en algunos casos triplicaron, el uso del disco de nuestro sitio web, mientras se realizaban los escaneos de Wordfence. Reconocemos que nuestros sitios de prueba son muy pequeños, por lo que, para empezar, no consumen demasiados recursos, pero de todos modos es un salto significativo. En sitios más grandes, la penalización sería considerable.

De hecho, cualquier cambio en la configuración predeterminada viene con una advertencia de que se consumirán más recursos del servidor. Entonces es seguro asumir que Wordfence utiliza los recursos del servidor del sitio para realizar todas sus tareas.

Lo cual ya es bastante malo, pero empeorará mucho con el cortafuegos. Cualquier ataque sostenido abrumará el sitio web incluso si está protegido contra estos exploits.

El uso de recursos del servidor rara vez surge como un tema de conversación en la seguridad del sitio web, pero a menudo los complementos de seguridad afectan notablemente el rendimiento del sitio web. Tanto es así que el administrador tiene que hacer un balance entre seguridad y usabilidad. Creemos que este nunca debería ser el caso, y usted puede tener su pastel y comérselo también con MalCare.

iThemes es excelente para los recursos de su servidor. No puedo decir lo mismo de la seguridad de su sitio.

Alertas

iThemes no le envía ninguna alerta. Wordfence envía demasiados.

Las alertas deben encontrar el punto óptimo entre ninguna y demasiadas. Ambos son extremos igualmente malos, porque el resultado neto es que no tiene idea de cuál es realmente la seguridad de su sitio web.

El escáner de Wordfence puede generar una gran cantidad de falsos positivos, por lo que realmente no sabe cuándo su sitio web está realmente pirateado. Después de un punto, puede volverse como el niño que gritó lobo. Lo mismo con el cortafuegos. El cortafuegos debería simplemente bloquear los ataques sin activar una alarma cada vez, ya que no tiene ningún propósito. Por tanto, nuestra opinión es que Wordfence genera demasiadas alarmas para ser del todo útil.

iThemes envía un montón de correos electrónicos absolutamente banales e inútiles: informes de notificación de cambios de archivos, copias de seguridad de bases de datos y otras confirmaciones de nuestra configuración. También hay un resumen de seguridad diario sobre nuestro sitio web y un informe de vulnerabilidad semanal. Imaginamos que esto es para nuestro conocimiento, por lo que podemos actualizar manualmente los complementos y temas ofensivos en uno o varios sitios web.

Instalación, configuración y usabilidad

Wordfence se instala a las mil maravillas. Sin configuraciones complejas y configuraciones oscuras. iThemes, por otro lado, fue realmente difícil.

iThemes es engañosamente fácil al principio, y luego se convierte lentamente en una gran cantidad de configuraciones inútiles. Hay una configuración larga por recorrer antes de que se cree el tablero. Para ser honesto, deberíamos haber leído las señales y haberlo dado por perdido. Pero somos glotones para el castigo que el poder a través del bien mayor.

La instalación de Wordfence fue muy fácil y no hay opciones de configuración por adelantado. La primera pantalla que aparece es la suscripción de correo electrónico, que indica claramente que recibe noticias de seguridad en su bandeja de entrada. La siguiente pantalla es un aviso para actualizar a premium. En este punto, no sabíamos qué características tenía el complemento gratuito, por lo que no pusimos nuestra licencia premium de inmediato.

Hay un recorrido de 3 consejos sobre herramientas cuando visita el tablero en wp-admin por primera vez. La usabilidad y el lenguaje son fantásticos en Wordfence. Hay explicaciones claras para las características y cómo afectan la seguridad. No es abrumador, ni simplifica las cosas.

El diseño del tablero es muy intuitivo y puede ver de un vistazo todos los aspectos importantes de seguridad relacionados con su sitio web. En general, nuestra primera impresión de Wordfence fue excelente.

Además, Wordfence le brinda recomendaciones útiles para la configuración. La documentación, a la que puede acceder desde la información sobre herramientas en el tablero, es muy contextual. Establece claramente qué hace cada función y por qué, además de cómo configurarla de manera óptima para que funcione en su sitio web. Una vez más, llama la atención cómo el lenguaje utilizado es accesible.

iTemas: Extras

Después de revisar los aspectos críticos de la seguridad y encontrar que iThemes carece gravemente, esta sección parece casi irrisoria.

iThemes ha llenado el complemento con una gran cantidad de funciones, que tienen poco o ningún impacto en la seguridad. Caso en cuestión: la función de IP de la lista blanca. Las direcciones IP de nuestros dispositivos cambian todo el tiempo, por lo que esto no garantiza que ciertas personas puedan acceder al sitio, lo que presumiblemente es el punto.

También hay un monitor de cambios de archivos, que envía un informe a su dirección de correo electrónico cada 24 horas. El informe contiene una lista de todos los archivos modificados. No cuál fue el cambio, quién lo hizo o cuándo sucedió exactamente. No, solo un correo electrónico que dice: “¡Hola! Todo esto en su sitio ahora es diferente de lo que era ayer. ¡Adiós!"

Una vez que superamos nuestra irritación, queríamos reconocer que iThemes tiene un buen sistema de administración de contraseñas. Puede aplicar contraseñas seguras y negarse a permitir que se utilicen contraseñas comprometidas en el sitio. No pudimos probar esto de manera concluyente, pero nuevamente los resultados fueron irregulares.

Hay una función de refuerzo útil: bloquear la ejecución de PHP en la carpeta de carga. Los demás son tonterías.

Wordfence: Extras

Los extras de Wordfence están estrictamente relacionados con la seguridad. No hay funciones útiles adyacentes, como actualizaciones u opciones de administración de usuarios. Habiendo dicho eso, hay muchos extras.

Después de la instalación inicial, vimos una sección de notificaciones para actualizaciones del sitio. En nuestro sitio de prueba, nos mostró que era necesario actualizar 5 complementos.

Hay un estado de Wordfence Central que le permite administrar varios sitios desde el wp-admin de cada sitio. Esto tiene sentido si tiene algunos sitios en la misma cuenta, pero el espacio es limitado y no funcionará para agencias con cientos de sitios. Lo bueno es que hay un tablero externo. Debe crear una cuenta en el sitio web de Wordfence para acceder a Wordfence Central. En nuestra opinión, no tiene sentido tener el cuadro central en el tablero del sitio.

Agregamos todos los sitios de prueba a Wordfence Central y obtuvimos una vista panorámica de todos ellos. No es el mejor diseño para más de 20 sitios. La idea es buena, la ejecución es deficiente.

A continuación, revisamos la sección Herramientas. Hay un panel para el tráfico en vivo, que a primera vista parecía una versión de Google Analytics, pero resultó ser más que eso. Puede configurar los registros de tráfico para incluir todo el tráfico o solo el tráfico relacionado con la seguridad. Los registros son geniales, porque hay una leyenda clara que indica qué tipo de tráfico está recibiendo el sitio web: humano, bot, advertencia, bloqueado.

También hay una búsqueda de Whois, en caso de que quiera ver quién está atacando su sitio web. Esto es un lujo en el mejor de los casos, porque esta función también está fácilmente disponible en línea.

El Diagnóstico es una característica interesante. Contiene una gran cantidad de información sobre el sitio web, desde los propietarios de los procesos hasta las tablas de la base de datos y más. Es como una especificación del sitio web en un solo lugar, junto con el estado de cada una de esas cosas. Es difícil imaginar cómo un usuario común (no desarrollador) usaría esta información, pero definitivamente útil para un desarrollador.

Lo que falta en iThemes Security y Wordfence

A iThemes le falta un escáner, un limpiador y un firewall. Also, it would be nice if it had functional brute force protection and activity log, and detected a vulnerability on occasion. One can hope.

Wordfence doesn't have bot protection nor an activity log. Other than that, it is a comprehensive and well-rounded security plugin.

Wordfence vs iThemes Security: Pricing

It is not worth buying iThemes Security, because its only worthwhile feature is two-factor authentication, which is available for free. Wordfence premium is available for $99 for the year, but the free version is strong enough on its own.

Wordfence's free plugin is really great, considering it is free. The premium licenses are at a max of $99 per site, and get progressively lower with the more licenses you purchase.

The real kicker is the site cleaning service which is a hefty $490 per site, and although they say unlimited pages in the features, additional charges may apply for sites above 10 GB—which, fair enough. They do have a malware removal guarantee for 1 year, but there are caveats in the small print. So read those carefully.

After reading this article, you know that iThemes isn't worth your money. Use it for two-factor authentication or get a dedicated plugin for that feature.

Better alternative to iThemes Security and Wordfence: MalCare

The best thing you can do for your website is to invest in a good security plugin. The plugin should scan, clean and protect your website from all manner of threats. During our testing series, only one plugin stood out: MalCare. It outshines iThemes in every way, and has a much better scanning, auto-cleaning, firewall, and notifications compared to Wordfence. It is a no-brainer.

MalCare's $99 Basic plan includes unlimited cleanups, which is equivalent to Wordfence's $99 plan and $490 per cleanup needed thereafter.

Conclusión

We hope this article helped you decide on a way forward for your website security. If you have any questions or thoughts, do drop us a line. ¡Nos encantaría saber de usted!