Jetpack vs Wordfence: ¿Cuál es mejor?

Publicado: 2022-04-22

Jetpack es un complemento administrativo multipropósito y empaqueta copias de seguridad, seguridad, crecimiento y velocidad en un complemento práctico y elegante. Además, tiene el prestigio de ser del establo de Automattic, por lo que obviamente tiene peso en el dominio de WordPress.

Nuestro otro competidor es Wordfence, posiblemente el complemento de seguridad de WordPress más popular en la actualidad. Son conocidos por su enfoque de seguridad de no tomar prisioneros y los fantásticos recursos de seguridad que desarrollan constantemente.

Pusimos a prueba 5 complementos de seguridad de WordPress en una serie de pruebas que duró 1,5 meses. Queríamos averiguar cómo cada complemento hace frente al malware, los ataques, las vulnerabilidades y más.

VEREDICTO Tal vez es mejor hacer una cosa realmente bien, que hacer muchas cosas pero ser mediocre. Entre Jetpack vs Wordfence , porque independientemente de su pedigrí de WordPress, Jetpack perdió en esta batalla campal. Wordfence es un excelente complemento de seguridad gratuito, con algunas desventajas, pero sigue siendo una mejor opción para Jetpack.

nuestra selección

La idea central detrás de esta serie de pruebas fue encontrar el mejor complemento de seguridad de WordPress para su sitio web. Con ese fin, tomamos los 5 mejores complementos, 3 sitios de prueba y reservamos 45 días para descubrir todos los pros y los contras de cada complemento.

Nuestros 3 sitios de prueba se configuraron de la siguiente manera: un blog simple con alrededor de 500 publicaciones, imágenes y comentarios como control; un sitio con complementos y temas vulnerables; y, por último, un sitio lleno de diferentes tipos de malware. Sometimos los complementos a ataques de inyección SQL, ataques RCE y ataques de fuerza bruta, al mismo tiempo que los enfrentamos contra el malware de redirección, el pirateo farmacéutico, el malware de palabras clave japonesas y mucho más.

Cada complemento cuenta con un conjunto diferente de funciones, pero para la seguridad de WordPress, las más importantes son el escáner, el limpiador y el firewall. También hay otros buenos para tener, pero estos son críticos.

Al cabo de 45 días, surgió un claro ganador: MalCare. Con un escáner sofisticado, un limpiador automático de malware y un firewall avanzado, era imposible de superar. ¿Está buscando el mejor complemento de seguridad para su sitio web de WordPress? Elija MalCare.

ocultar contenido
1 Resumen de la comparación entre Jetpack y Wordfence
1.1 Jetpack en pocas palabras
1.2 Wordfence en pocas palabras
2 Cómo elegir el mejor complemento de seguridad
3 Worfence vs Jetpack Security: comparación directa de características
3.1 Escaneo de malware
3.2 Limpieza de malware
3.3 Cortafuegos
3.4 Detección de vulnerabilidades
3.5 Protección de inicio de sesión de fuerza bruta
3.6 Registro de actividad
3.7 Autenticación de dos factores
3.8 Uso de recursos del servidor
3.9 Alertas
3.10 Instalación, configuración y usabilidad
3.11 Jetpack: Extras
3.12 Wordfence: Extras
4 Lo que falta en Jetpack y Wordfence
5 Jetpack vs Wordfence: precios
6 Mejor alternativa a Jetpack y Wordfence: MalCare
7 Conclusión

Resumen de la comparación entre Jetpack y Wordfence

Si te estabas preguntando, Jetpack vs Wordfence, ¿cuál elegir? Elija Wordfence. Es mucho mejor como complemento de seguridad.

Nos gusta el enfoque todo en uno de Jetpack para la administración de WordPress, pero realmente necesita una paliza en el frente de la seguridad, especialmente en comparación con Wordfence. Eso no significa que Wordfence no tenga sus propios problemas; solo que es contextualmente mejor que Jetpack.

Comparación entre Jetpack y Wordfence

En última instancia, ni Jetpack ni Wordfence son la mejor opción para la seguridad de su sitio web. Entraremos en más detalles más adelante en el artículo, pero si quiere ir al grano, descargue el mejor complemento de seguridad de su clase: MalCare.

Jetpack en pocas palabras

El escáner de malware de Jetpack es mediocre en el mejor de los casos. Podrá detectar parte del malware en su sitio. Sin embargo, no hay opción de limpieza ni firewall. Si bien hay algunas características de seguridad decentes, tienen menos impacto en la seguridad del sitio web. En general, Jetpack no es una buena opción.

Con cualquier complemento de seguridad, buscamos 3 factores importantes por adelantado: escáner de malware, limpiador de malware y firewall. Jetpack ya ha suspendido 2 de 3 de esa lista, así que comenzamos revisando el escáner de malware.

Jetpack fue el segundo complemento que probamos, después de iThemes, y, francamente, nos alegró ver que algo funcionaba como se suponía. Obviamente, este no es un buen enfoque cuando se trata de ser objetivo, por lo que lanzamos una gran cantidad de malware a Jetpack para ver cómo reaccionaría. Desafortunadamente, el escáner de malware detectó alrededor del 30% de los archivos y carpetas infectados en nuestro sitio web de WordPress pirateado.

Cuando probamos las otras características, como la protección de fuerza bruta, funcionó de manera inconsistente. A veces, los ataques se detuvieron y, en otras ocasiones, no pudimos obtener ninguna respuesta. El complemento tampoco detectó todas las vulnerabilidades en el sitio web. Los más oscuros permanecieron sin ser detectados, a pesar de que contenían graves fallas de seguridad. Nuestro sitio de prueba solo tenía algunos temas y complementos vulnerables, por lo que el resultado de 2 de 3 no fue malo. Sin embargo, con un sitio más grande con más software, esa proporción seguramente será mucho peor.

Aunque no todo fue malo. El registro de actividad de Jetpack es realmente excelente y fácil de usar. No hay jerga tecnológica oscura que la gente no pueda entender fácilmente. También nos gustó la función de copias de seguridad integradas, porque las copias de seguridad pueden ser la última gracia salvadora con un sitio infectado. Sin embargo, no pudimos probar las copias de seguridad porque estaba fuera del alcance de este experimento.

En general, Jetpack es un complemento de seguridad por debajo del promedio. Habríamos esperado mucho más, considerando el enorme precio, pero todavía no es el fondo del barril para nosotros. Ese dudoso honor es para iThemes.

Wordfence en pocas palabras

Después de MalCare, Wordfence es el mejor complemento de seguridad gratuito que hemos probado. Si no tiene presupuesto para la seguridad del sitio web, Wordfence le brindará la mejor seguridad del sitio web. El escáner detecta la mayoría del malware basado en archivos y la reparación automática eliminará la mayor parte. El firewall es uno de los más actualizados disponibles, pero si opta por la versión gratuita, debe tener en cuenta que no recibe actualizaciones en tiempo real. Wordfence también tiene un servicio de eliminación de malware, pero es costoso.

Dejamos Wordfence para el último de nuestra serie de pruebas, porque estábamos muy emocionados de probar el reconocido peso pesado de los complementos de seguridad de WordPress. A excepción de MalCare, los otros complementos fueron decepcionantes en el mejor de los casos, horribles en el peor.

Instalación de Wordfence

El escáner de Wordfence detectó todo el malware basado en archivos en los archivos principales de WordPress, la raíz del sitio web y en los archivos y carpetas de complementos y temas. En la superficie, esto puede parecer un gran escáner y, en muchos sentidos, definitivamente está por encima del promedio. Sin embargo, Wordfence no pudo detectar el malware que se escondió en complementos y temas premium y, en algunos casos, también en la base de datos.

La principal desventaja del escáner, además del hecho de que no puede verificar cada rincón y grieta de su sitio web, es que nuestros sitios web sufrieron un impacto en el rendimiento. Wordfence usa los recursos del servidor para hacer cualquier cosa en el sitio web. Eso no es bueno.

En este punto, Wordfence sigue siendo mejor que todos los demás complementos de seguridad que probamos. Nuestra opinión subió varios niveles cuando probamos la función de reparación automática y eliminó todo el malware que detectó. Por supuesto, no pudo eliminar el malware que no detectó, pero la eliminación automática de malware es mucho más rápida que esperar a que un experto en seguridad limpie el sitio web. Nuevamente, esto es mucho mejor que los otros complementos que probamos, excepto MalCare.

Por último, probamos el firewall, que fue efectivo para bloquear varios exploits, como inyección SQL, ataques XSS e inyecciones remotas de código.

Wordfence es un excelente complemento de seguridad gratuito, pero es propenso a falsos positivos y envía alertas por cada pequeña cosa que bloquea el firewall. Después de unos días, no pudimos encontrar la señal debido a todo el ruido. Francamente, demasiadas alertas son tan malas como ninguna, porque conducen al mismo resultado: ninguna acción.

Una vez que verificamos las 3 funciones de seguridad principales, probamos la autenticación de dos factores y la protección de fuerza bruta. Ambos funcionan muy bien. Wordfence también detectó todas las vulnerabilidades en nuestros sitios web, incluso una en un complemento oscuro que la mayoría de los otros complementos no pudieron detectar.

Lo que nos encantó de Wordfence fue la gran experiencia de usuario. No hay jerga innecesaria y aterradora ni términos de seguridad complejos en el tablero. Lenguaje simple, con recomendaciones claras para administradores novatos.

Nos sorprendió que Wordfence no tenga un registro de actividad, a excepción de un registro sin procesar, evidentemente destinado a los desarrolladores de Wordfence. Tampoco protege los sitios web de los bots malos, lo cual es extraño.

Tablero de Wordfence

En resumen, Wordfence es muy recomendable para sitios web que no tienen presupuesto para seguridad. Es la mejor opción gratuita, pero aun así, no proporciona una seguridad total. Para esa tranquilidad, debe optar por MalCare en su lugar.

Cómo elegir el mejor plugin de seguridad

Con todos los consejos de expertos equivocados disponibles en línea, la seguridad de WordPress puede ser una caja negra en el mejor de los casos. Muchos administradores quieren estar seguros de que sus sitios están protegidos, pero no comprenden los detalles y, por lo tanto, no saben cómo elegir la mejor opción para sus sitios web.

Como parte de esta serie de pruebas, queríamos asegurarnos de presentar todos nuestros datos de una manera imparcial y accesible. Eso significaba que necesitábamos explicar cómo y por qué llegamos a nuestras conclusiones.

Los complementos de seguridad pueden tener un montón de funciones y, a veces, esas funciones sirven para ocultar la ineficacia que se esconde debajo de todo ese bombo. Si una gran lista de funciones no es una buena métrica para elegir un complemento, ¿cuál es? Bueno, estos factores:

  • Funciones de seguridad esenciales
    • Escaneo de malware
    • Limpieza de malware
    • cortafuegos
  • Características de seguridad buenas para tener
    • Detección de vulnerabilidades
    • Protección de inicio de sesión de fuerza bruta
    • Registro de actividades
    • Autenticación de dos factores
  • Problemas potenciales
    • Impacto en los recursos del servidor

Como puede ver, esta es una lista muy corta. Pero estos son los factores que evitarán que los piratas informáticos exploten su sitio web y que el malware altere su sitio web y su tranquilidad. De todos los complementos que probamos, ninguno dio en el clavo para nosotros.

De hecho, el único complemento que domina esta lista es MalCare. Con MalCare, su sitio web tiene asegurado un excelente escáner de malware, un limpiador que elimina automáticamente el malware sin dañar su sitio y un firewall que evita que los piratas informáticos exploten las vulnerabilidades. Absolutamente no puedes equivocarte con MalCare.

Worfence vs Jetpack Security: comparación directa de características

Para presentar los resultados de nuestro proceso de prueba de manera justa y concisa, organizamos los datos por característica. Cada complemento tiene sus pros y sus contras, y dependiendo de lo que esté buscando, esta sección lo ayudará a evaluar tanto Wordfence como Jetpack según los méritos de esa función en particular.

Organizamos la lista de más importante a menos y encapsulamos nuestras experiencias con la configuración, la instalación y otros aspectos de los complementos.

Sin embargo, si prefiere pasar a la conclusión, le recomendamos que instale MalCare en su sitio web de WordPress y dé por terminado el día.

Escaneo de malware

El escáner de Wordfence encontró todo el malware basado en archivos en los archivos y carpetas principales de WordPress, y complementos y temas gratuitos. Pero no pudo detectar malware en la base de datos de nuestro sitio web y cosas en algunos complementos y temas premium. Jetpack encontró aproximadamente el 30% del malware en nuestro sitio web.

Una vez que activa Wordfence, suceden dos cosas de inmediato: comienza el primer escaneo del sitio y el firewall entra en modo de aprendizaje. Cubriremos el cortafuegos con más detalle más adelante. Vimos que el escáner estaba funcionando y pronto alcanzó el 60 %. Y luego se quedó allí por un tiempo. Bien, pensamos que necesita más tiempo para ejecutarse, así que lo dejamos solo durante unas horas y volvimos a encontrar que todavía estaba al 60 %.

Da la casualidad de que el 60% no es una barra de progreso para el escáner, sino un indicador de la eficiencia del escáner gratuito. Para llegar al 100%, debe actualizar a la versión pro. Este fue el primer y último caso de disonancia cognitiva con Wordfence, así que lo dejamos pasar.

Escáner premium y gratuito de Wordfence

Configuramos Wordfence para escanear el sitio web nuevamente y nos sorprendió gratamente ver que terminó muy rápido. 37 segundos, para ser precisos, para nuestro pequeño sitio web plagado de malware. El escáner detectó todo el malware en los archivos principales de WordPress y en los complementos y temas gratuitos, pero nada de los premium ni de la base de datos. Entonces, a pesar de que Wordfence es una excelente alternativa a casi todos nuestros complementos (excepto MalCare, por supuesto), el escáner está estrictamente por encima del promedio.

Nuestra conclusión es que la base de datos de malware de Wordfence es extensa y está relativamente actualizada. Sin embargo, si el equipo de Wordfence no ha encontrado malware, no estará en la base de datos. Por lo tanto, no puede proteger sitios web contra amenazas más recientes.

Escáner de Wordfence

Otra desventaja del escáner es que genera muchos falsos positivos. Los falsos positivos son tan buenos como la falta de alertas, porque generan desconfianza en las alertas y complacencia.

Jetpack incluye un escáner de malware como parte de sus planes pagos. Aunque no es un parche en Wordfence, notamos que Jetpack detectó algún malware. Sin embargo, el porcentaje es considerablemente menor que el de Wordfence, registrando una eficacia de alrededor del 30-50 %, en comparación con el 70-80 % de eficacia de Wordfence.

escaneo de mochila propulsora

Limpieza de malware

Jetpack no tiene limpieza de malware, automática o de otro tipo. Wordfence tiene una opción para reparar archivos infectados, pero solo el malware que realmente detecta en primer lugar. Por otro lado, Wordfence tiene un servicio de eliminación de malware premium, que cuesta $ 490 por sitio.

Después del escaneo, Wordfence enumera los archivos pirateados con una recomendación para que sus expertos profesionales de WordPress limpien los archivos. Alternativamente, puede intentar usar las dos opciones de limpieza automática en el tablero: elimine todos los archivos eliminables y repare todos los archivos reparables.

En nuestras pruebas, la opción de eliminación eliminó 1 archivo con éxito y sin errores, dejando muchos otros archivos aún pirateados. Luego probé la opción de reparación, que arregló todos los archivos que se muestran en la lista. Eso es genial, porque eso significaba que no necesitábamos eliminar el malware por separado.

Nuestra única queja con todo este episodio fue que hubo advertencias aterradoras de que nuestro sitio podría fallar si usamos la opción de eliminar o reparar. Sin embargo, nos aseguramos de que teníamos copias de seguridad y funcionamos. El malware que encontramos aún debía eliminarse, por lo que las advertencias nos hicieron debatir brevemente si vivir con malware era mejor que romper el sitio. No, ese no es el caso en absoluto.

Advertencia de limpieza automática de Wordfence

Debido a que los otros complementos de seguridad que probamos ni siquiera llegaron a este punto en las festividades con éxito, no nos molestamos en verificarlos contra otros tipos de malware. Sin embargo, dado que Wordfence eliminó rápidamente el malware basado en archivos, agregamos algunas curvas a nuestro repertorio de pruebas.

Primero, algún malware de redireccionamiento pirateado entró en la base de datos de nuestro sitio web. Luego, también agregamos varias páginas japonesas de spam de pirateo de palabras clave. Además, insertamos scripts maliciosos en complementos premium e instalamos un complemento anulado en los sitios web de prueba. Asumimos que estos harían tropezar al escáner, y así fue. El escáner no registró ningún malware en carpetas premium no centrales.

La base de datos de malware de Wordfence es completa, pero parece depender en gran medida de lo que su equipo ha visto antes. Ahí es cuando la reparación automática funciona. Wordfence es incapaz de detectar malware oscuro o malware en complementos y temas premium. El resultado neto es que el limpiador es realmente tan efectivo como el escáner, que tiene una efectividad del 70 al 80 % por derecho propio.

El siguiente paso es optar por el servicio de eliminación de malware de Wordfence, que pretende eliminar todas las instancias de malware, puertas traseras y, además, evalúa el sitio en busca de vulnerabilidades y fallas de seguridad. Como parte del paquete, Wordfence lo ayudará a eliminar su sitio web de cualquier lista negra, como la de Google, por ejemplo. Hay una garantía de 1 año para la limpieza, siempre que siga la lista de verificación posterior al hackeo al pie de la letra.

Tenga en cuenta que no podemos comentar sobre la eficacia del servicio de eliminación de malware, ya que no lo probamos.

Jetpack cubre un poco el tema de la limpieza de malware en su sitio web. Eso, en sí mismo, es un claro indicativo de que no pueden hacerlo. La limpieza de malware es posiblemente la parte más crítica y más difícil de la seguridad de WordPress, ya que una eliminación torpe puede dañar un sitio web sin posibilidad de reparación. Si un complemento puede limpiar el malware con confianza, seguro que hablarán de ello.

Nuestras expectativas de Jetpack no eran altas, especialmente después de ver que el escáner no puede detectar todo el malware. Estábamos justificados porque incluso con el malware que detectó, Jetpack no pudo hacer nada con él. Los resultados del escaneo muestran el código real que se ha etiquetado como malware, y la sugerencia en cada etiqueta es que un experto lo elimine. Por lo tanto, no es completo ni útil.

escaneo de malware jetpack

cortafuegos

Jetpack no tiene un cortafuegos. El cortafuegos de aplicaciones web de Wordfence protegerá los sitios web de manera efectiva contra la mayoría de los ataques más importantes y comunes. Un punto de preocupación es que la versión gratuita recibe actualizaciones después de la premium.

Un firewall es una parte integral de la seguridad de WordPress, porque evita que los ataques de WordPress y el tráfico malicioso lleguen a su sitio web. Si los malhechores no pueden llegar a su sitio web, no pueden aprovechar las vulnerabilidades y, por lo tanto, no pueden instalar malware. Piense en un firewall como el perímetro de seguridad alrededor de su sitio web. Jetpack no tiene un firewall, por lo que esta sección solo trata de Wordfence.

El cortafuegos de Wordfence pasa directamente al modo de aprendizaje cuando instala el complemento por primera vez. Se recomienda que deje el modo de aprendizaje durante al menos una semana para obtener mejores resultados. Esto es correcto, porque los firewalls requieren tráfico en vivo para bloquear de manera efectiva en el futuro. En nuestro caso, nuestros sitios de prueba no reciben tráfico, por lo que desactivamos el modo de aprendizaje de inmediato y nos pusimos manos a la obra.

Modo de aprendizaje del cortafuegos de Wordfence

Tanto la versión gratuita como la premium del cortafuegos Wordfence evitaron ataques con éxito. Probamos inyecciones SQL, ataques de secuencias de comandos entre sitios, falsificaciones de solicitudes entre sitios e inyecciones remotas de código. No pudimos aprovechar ninguna de las vulnerabilidades del sitio.

Sin embargo, había una pregunta. El panel de Wordfence muestra la eficacia del cortafuegos gratuito en un 35 %, frente al 100 % propuesto del cortafuegos premium. Entonces, ¿cuál es la diferencia entre las versiones gratuita y premium?

La diferencia es doble: la primera es cuando el cortafuegos se carga en su sitio web; y el segundo es cuando su firewall recibe actualizaciones.

Ambos factores son diferencias no triviales y son cruciales para que el mismo complemento pueda tener una diferencia de eficacia del 65 % entre sus versiones gratuita y premium. Desglosaremos ambas diferencias para explicar lo que está pasando aquí.

En primer lugar, su sitio web se carga en un orden secuencial. WordPress es generalmente primero, con los archivos y carpetas principales, luego los complementos y temas, y la base de datos. Esto se conoce como el orden de carga, y los archivos más importantes siempre se cargan primero porque son fundamentales para el resto del sitio. Por ejemplo, sin wp-config, no puede conectarse a la base de datos. Este es un pequeño ejemplo, pero es indicativo de cuán importante es el orden de carga cuando se trata de seguridad.

El cortafuegos gratuito de Wordfence se carga como un complemento ordinario, lo que significa que se carga después de WordPress, todos los archivos principales y tal vez junto con los otros complementos. Eso significa que el firewall no puede mantener todo el tráfico malicioso alejado del sitio, sino solo una parte.

En segundo lugar, los cortafuegos son efectivos debido a las reglas que contienen para filtrar el tráfico inadecuado. Estas reglas deben actualizarse periódicamente para tener en cuenta las amenazas cambiantes.

El cortafuegos de MalCare, por ejemplo, aprende de todos los sitios web que protege. Entonces, si el firewall bloquea una amenaza en algunos sitios web, aprende que debe haber una regla para esa amenaza y actualiza las reglas del firewall en todos los otros más de 100,000 sitios web en los que está instalado, incluso antes de que la amenaza llegue a esos sitios web. . Ese es el poder de la protección preventiva.

Entonces, aunque Wordfence tiene el firewall más actualizado, los usuarios de firewall gratuitos obtienen actualizaciones más tarde que sus contrapartes premium. Si hubiera alguna indicación de la duración del retraso, podríamos decir cuánto riesgo calculado es, porque incluso una ventana pequeña es problemática. Sin embargo, no lo hay, por lo que solo podemos especular que es considerable. Quién sabe.

Detección de vulnerabilidades

Wordfence se concentró en todas las vulnerabilidades de nuestros sitios web de prueba, mientras que Jetpack omitió por completo algunas de las menos conocidas.

Durante el análisis inicial, Wordfence nos alertó de todas las vulnerabilidades y las marcó como amenazas críticas. Incluimos muchos complementos y temas oscuros, porque estos hicieron tropezar a los otros complementos de seguridad durante sus escaneos. Algunos de ellos tienen menos de 200 usuarios y son muy específicos. Así que todo apunta a Wordfence en ese frente.

Escáner de vulnerabilidades de Wordfence

Un punto adicional que realmente nos gustó es que WordFence marcó complementos y temas desactualizados como amenazas medianas. Esto es realmente importante, porque las vulnerabilidades en el software desactualizado son una de las principales causas de los hackeos exitosos en los sitios web de WordPress.

Curiosamente, no puede corregir vulnerabilidades desde el panel de control de WordFence. Varios complementos de menor seguridad agregan esto como una característica adicional, sin embargo, en esencia, la "característica" simplemente actualiza el software obsoleto, una funcionalidad que ya existe en el panel de control de wp-admin. No hay una razón real para replicar eso, a menos que el complemento haya administrado actualizaciones como lo hace MalCare.

Jetpack se escapó de nosotros y se perdió por completo el oscuro software obsoleto. No tan sorprendente, pero decepcionante sin embargo.

exploración de vulnerabilidades jetpack

Protección de inicio de sesión de fuerza bruta

Wordfence hace un gran trabajo al proteger la página de inicio de sesión de los ataques de fuerza bruta. Jetpack agrega un captcha a wp-login, cuando hay varias fallas de inicio de sesión, pero no bloquea la IP ni siquiera temporalmente.

Solo para que conste, el bloqueo de IP es una característica imprecisa para comenzar. Entonces, ¿por qué estamos señalando la insuficiencia de Jetpack en ese sentido? Principalmente porque tienen tantas configuraciones dedicadas a la lista blanca de IP, hasta el punto de que pensamos que estábamos en peligro inminente de bloquearnos. Pero nada. Si va a hablar tanto de una característica, debe tener un buen seguimiento. Eso es todo.

Aplicamos fuerza bruta a la página de inicio de sesión muchas veces y superamos con creces nuestro límite establecido. La única diferencia que vimos fue un captcha numérico que no estaba allí antes. Fue menos cualquier marca, por lo que nos aventuraremos y asumiremos que fue Jetpack.

protección de inicio de sesión jetpack

En general, el captcha es una solución elegante pero inadecuada para los ataques de fuerza bruta en la página de inicio de sesión. Los ataques de fuerza bruta pueden abrumar a un sitio web al utilizar los recursos del servidor, por lo que deben mantenerse alejados con algo más que un captcha.

Wordfence, por otro lado, funcionó como un campeón. Estamos algo asustados por la gran cantidad de configuraciones para cada complemento, y a veces puede significar que el complemento no funciona, por lo que fue refrescante ver solo algunas opciones.

Protección de fuerza bruta de Wordfence

Aunque la protección de fuerza bruta está habilitada de forma predeterminada, puede personalizar la configuración desde la sección de firewall. Hay opciones para establecer la cantidad de intentos de inicio de sesión fallidos que conducen a un bloqueo temporal, e incluso cuánto debe durar ese bloqueo. Inevitablemente, vemos la opción de lista de permitidos, aunque sabemos que las IP de los dispositivos son dinámicas, por lo que esto es indicativo en el mejor de los casos, y sin sentido en el peor.

También encontrará las opciones de contraseña segura aquí. Si bien es bueno tenerlos, en la sección de firewall, la protección de fuerza bruta no es el lugar lógico para tener esos ajustes. Sí, ambos están relacionados con la seguridad de inicio de sesión, pero eso aún requiere un salto para conectarse. Tenemos dudas de que las personas encuentren estas configuraciones tan útiles en este lugar remoto.

Opciones de fuerza bruta de Wordfence

Registro de actividades

Nos gustó mucho el registro de actividad de Jetpack, ya que es una de las mejores versiones que hemos visto. Sorprendentemente, Wordfence no tiene un registro de actividad.

Estamos realmente sorprendidos de que Wordfence no tenga un registro de actividad porque es una parte muy importante de la seguridad del sitio web. Los piratas informáticos aprovechan el registro insuficiente para atacar sitios. Definitivamente desea tener un registro de actividad confiable que tenga la información correcta sobre lo que sucede en su sitio web.

En Wordfence, hay una opción para habilitar la depuración, en caso de que algo salga mal. La opción está enterrada en lo profundo de la sección Diagnóstico en Herramientas. Su objetivo es hacer que los registros del cortafuegos sean más detallados. También encontramos un registro de actividad completo específicamente para eventos de Wordfence en la sección Escanear, pero eso no es lo que queremos decir con registro de actividad. También parece un registro sin procesar destinado a los desarrolladores de Wordfence.

Registro de actividad de Wordfence

La función de registro de actividad de Jetpack es excelente y hace que sea muy fácil comprender lo que ha ocurrido en el sitio web. Está disponible para vista previa en los planes gratuitos, pero necesita una suscripción premium para ser realmente útil. Los registros tienen toda la información de actividad de usuarios, complementos y temas, con la característica adicional de alertas para cosas que requieren atención, como malware o vulnerabilidades.

registro de actividad del jetpack

Nuestra advertencia aquí es que los datos del registro de actividad solo están disponibles durante 30 días. Hubiéramos preferido ver un marco de tiempo mucho más largo para que fuera realmente útil.

Autenticación de dos factores

Wordfence tiene una excelente autenticación de dos factores, que funciona de inmediato. Jetpack no tiene esta característica.

La autenticación de dos factores no es un factor decisivo para un complemento de seguridad, porque hay complementos dedicados disponibles para la funcionalidad. Por lo tanto, no criticamos demasiado a Jetpack por no incluirlo.

En Wordfence, la autenticación de dos factores funciona perfectamente. Lo mejor de todo es que es fácil de usar, sin un montón de opciones confusas. De hecho, solía ser una función premium, que ahora también está disponible para usuarios gratuitos.

Wordfence 2FA

Uso de recursos del servidor

Jetpack usará algunos recursos del servidor para sus escaneos, pero no afectará perceptiblemente el rendimiento. Wordfence, por otro lado, está prohibido por ciertos servidores web debido a la gran presión que ejerce sobre los recursos del servidor.

Nos dimos cuenta de que Jetpack es algo ligero en términos de seguridad y tiene un impacto similar en los recursos del servidor. Hay un bache notable en el uso del disco, pero no vimos demasiado impacto en el rendimiento del sitio web.

Wordfence era un vampiro de recursos del servidor. De acuerdo, escaneamos el sitio web muchas veces y lanzamos un montón de pruebas al malware, pero no esperábamos que el uso del disco se disparara 2 o 3 veces. Francamente, nuestros sitios de prueba son pequeños, por lo que la sanción no fue grave. Pero nos estremecemos al pensar qué pasaría en un sitio de comercio electrónico o uno con mucho contenido. ¡Ay!

Uso del disco de Wordfence

Después de ver un montón de mensajes en su tablero, es justo concluir que Wordfence usa los recursos del sitio para hacer todo: desde escanear hasta limpiar, y todo lo demás. El problema con esto es que el rendimiento y la seguridad no deben enfrentarse en algún tipo de compensación. No deberías tener que ceder en ninguno de los dos.

Alertas

Jetpack te envía alguna que otra alerta de vez en cuando, mientras que Wordfence puede inundar tu bandeja de entrada en una hora.

En nuestra opinión, las alertas deben equilibrarse. Desea saber si algo ha ido mal con su sitio web lo antes posible. Pero no necesita una alerta si alguien estornuda en las inmediaciones de su sitio web. El equilibrio es clave.

Wordfence falla miserablemente en este departamento. Las alertas de resultados de escaneo, falsos positivos, bloqueos de firewall y mucho más son demasiado numerosas para contarlas. Francamente, un buen firewall debería bloquear los ataques directamente, sin crear una alerta cada vez.

En este caso, Jetpack lo hace muy bien. Solo recibe alertas de cosas que importan, como vulnerabilidades descubiertas o malware detectado; es decir, cosas que necesitan su atención inmediata.

alerta de mochila propulsora

Instalación, configuración y usabilidad

Wordfence fue la instalación más fácil jamás realizada. No puedo decir lo mismo de Jetpack.

Wordfence fue genial en este sentido. Comience a usar el complemento y le mostrará el camino a seguir. Sin configuraciones complicadas en absoluto. El lenguaje utilizado es sencillo y accesible.

Nos gustó especialmente la forma en que hay tutoriales breves cuando visita cada sección en el tablero por primera vez. Las explicaciones claras son fáciles de entender, y no hay nada de ese galimatías tecnológico que suele acompañar a estas cosas.

Tutorial de Wordfence

El diseño general es muy intuitivo y está diseñado para brindarle una vista panorámica de la seguridad de su sitio web. Si algo se siente confuso, haga clic en una información sobre herramientas y acceda a su excelente documentación.

Si Wordfence fue fácil, Jetpack fue sorprendentemente complicado. La instalación se apoya en gran medida en la necesidad de actualizar. Incluso debe elegir un plan, gratuito o no, para continuar. Podría haber sido mucho mejor de lo que es.

instalación de mochila propulsora

Mochila propulsora: extras

Lo bueno de Jetpack es que combina múltiples tareas de administración de WordPress en un solo complemento. Tiene copias de seguridad, que sabemos que son muy importantes para cualquier sitio web. El tablero externo está en WordPress.com, por lo que es muy familiar de usar.

Habiendo dicho todo eso, le habríamos dado a Jetpack un aprobado inequívoco como un complemento de seguridad sin adornos ni adornos, si hubiera hecho un buen trabajo protegiendo nuestros sitios web. No lo hizo, por lo que, en última instancia, ninguno de estos buenos para tener tiene ningún valor.

Wordfence: Extras

Wordfence tiene que ver con la seguridad. No hay nada en el complemento que sea ni siquiera adyacente a la seguridad, como la posibilidad de actualizar los complementos como mencionamos antes. Pero todavía hay un montón de extras.

A partir de la instalación, lo primero que notamos es una sección de notificaciones para las actualizaciones del sitio. Por ejemplo, nos mostró que 5 de los complementos de nuestro sitio de prueba debían actualizarse.

En el futuro, hay un panel llamado Estado de Wordfence Central. Esto es para permitirle conectar su cuenta a varios sitios web y ver el estado de todos sus sitios web en el wp-admin de este sitio web. Si eso suena confuso, es porque es confuso y nada intuitivo. Realmente no desea administrar varios sitios web desde el panel de control de un sitio web. Necesita un tablero externo para eso, que en realidad es Wordfence Central. Pero hace un mal trabajo al transmitir eso.

Wordfence central

Wordfence Central está bien, aunque no está ni cerca de tener todas las funciones. Tal vez estamos malcriados por el panel de control de MalCare, que se siente como un panel de control de avión para sitios web. Wordfence Central parece difícil de manejar para más de 10 o 20 sitios, y podría ser mucho mejor.

En la sección Herramientas, hay un panel para el tráfico en vivo. Inicialmente parece que es una máscara para Google Analytics, pero resultó ser más que eso. Registra registros de tráfico a su sitio web y puede ver exactamente qué tipo de tráfico recibe su sitio web: humano, bot, advertencia, bloqueado.

Tráfico en vivo de Wordfence

Pensamos que Diagnostics era bastante interesante, ya que tenía mucha información sobre el sitio web; things like process owners and database tables, for instance. It is like a blueprint of the website, which the status of each of the specifications alongside. It doesn't look like something a normal user would need, but definitely could help out a developer.

Wordfence diagnostics

What's missing from Jetpack and Wordfence

Ultimately, there is a lot missing from Jetpack: the scanner is below-average, there is no cleaner or firewall. The rest of the stuff is alright, but these three factors are non-negotiable for security.

Wordfence doesn't have bot protection, and surprisingly no activity log. Although it is a comprehensive security plugin, the drain on server resources and the tendency to cry wolf at the drop of a hat is off-putting.

Jetpack vs Wordfence: Pricing

Jetpack is exorbitant at $300 per year for the security suite. Wordfence premium is far more reasonable at $99 for the year, but the premium version isn't a significant upgrade on the free version.

Wordfence has a really great free version, and in our opinion the upgrade to premium doesn't add much more. The site license is still competitive at $99 a pop, and gets better with more websites.

Wordfence pricing

The knockout punch from the Wordfence corner is their malware removal service. That will set you back a cool $490 per site cleanup. The 1-year guarantee is also subject to terms and conditions, so you shouldn't consider that a one-time expense.

Wordfence malware removal service

Jetpack is really not worthy of that fancy price tag. There is little to say beyond that.

jetpack pricing

Better alternative to Jetpack and Wordfence: MalCare

The best investment you can make in your website is to invest in a good security plugin. By this point, you know what to look for in a security plugin. And you will find all those things and more in MalCare. MalCare scans, cleans and protects your website from exploits in a major way. It far outperforms all other plugins.

Plans for MalCare start at $99 for the Basic plan, which includes unlimited cleanups. Contrast that to Wordfence's $99 plan and $490 per cleanup needed thereafter and the choice becomes clear. MalCare all the way.

Conclusión

We really hope this article helps to clear any confusion with respect to WordPress security. It is admittedly hard to wade through all the misinformation available online to arrive at a good decision.

If you have any questions, please write to us. We would be happy to help, and thrilled to hear from you!