Sucuri Vs Jetpack: ¿Cuál es mejor complemento de seguridad?

En una discusión sobre la seguridad de WordPress, inevitablemente surge Sucuri. Es uno de los complementos de seguridad más populares disponibles en la actualidad. Los planes profesionales vienen con un escáner del lado del servidor, un firewall y eliminación manual ilimitada de malware.

Jetpack es una solución todo en uno para muchas funciones de WordPress; no es de extrañar ya que está construido por Automattic. Además, tener un complemento que haga el trabajo de muchos es una opción atractiva, por lo que Jetpack es un gran competidor en nuestra serie de pruebas de complementos de seguridad.

Pero si hacemos caso omiso de las campanas y silbatos, ¿qué complemento de seguridad protege mejor su sitio de WordPress?

Probamos los 5 mejores complementos de seguridad para obtener esa respuesta. Durante 45 días, enfrentamos los complementos contra malware, vulnerabilidades, ataques y mucho más. Siga leyendo para obtener más información sobre nuestros resultados y, lo que es más importante: nuestra elección de un complemento de seguridad de WordPress que realmente funciona.

VEREDICTO : Sucuri vs Jetpack fue difícil de decidir, porque ambos fallaron de diferentes maneras. En última instancia, creemos que Sucuri gana a Jetpack. El escáner de malware de Jetpack logró detectar parte del malware, en contraste con el de Sucuri, que no detectó nada. Pero el servicio de eliminación de malware de Sucuri hizo bien el trabajo, mientras que Jetpack no tenía ninguna opción de limpieza. Honestamente, aunque ninguno de ellos fue lo suficientemente bueno, nuestra recomendación es MalCare.

nuestra elección

Sometimos a cada uno de los 5 mejores complementos de seguridad a 45 días de prueba. Utilizamos 3 sitios web: 1) un blog ordinario como control; 2) un blog con complementos vulnerables y 3) un sitio con malware en los archivos y la base de datos como nivel de jefe.

Hay una lista de factores más adelante en el artículo para mostrar cómo clasificamos cada complemento, pero en resumen, probamos el escáner, el limpiador y el firewall (si el complemento tenía uno) para llegar a nuestros resultados.

Es importante elegir un complemento de seguridad que pueda estar seguro de que protege su sitio web de los piratas informáticos y su malware. Ese complemento es, sin duda, MalCare.

Resumen de la comparación Sucuri vs Jetpack

En este concurso en el que el ganador se lo lleva todo, Sucuri se adelanta a Jetpack debido a los excelentes servicios de eliminación de malware que ofrecen. Sin embargo, es una victoria hueca, porque el escáner de Sucuri es uno de los peores que hemos visto hasta ahora.

Jetpack en pocas palabras

Los planes pagos de Jetpack tienen un escáner de malware promedio, que detectará parte del malware en su sitio web. El resto de funciones de seguridad son razonablemente buenas, pero no compensan el escáner ni la falta de limpieza de malware y cortafuegos. En general, Jetpack es un fracaso.

Jetpack fue el segundo complemento que probamos, justo después de iThemes, y nos impresionó favorablemente porque al menos hizo algo. Obviamente, eso no lo convierte en un buen complemento de seguridad.

En el lado positivo, el registro de actividad de Jetpack es excelente. Un registro de actividad es una herramienta fundamental para la depuración y la seguridad del sitio web. También creemos que el tablero externo en WordPress.com es excelente y es una interfaz familiar para trabajar. Dado que somos grandes defensores de las copias de seguridad, nos gusta esa parte de las características de Jetpack.

Sin embargo, ninguno de los anteriores es razón suficiente para optar por un plan pago, porque Jetpack escribe muchos cheques que no puede cobrar. Ya mencionamos que el escáner no funcionó bien. Detectó alrededor del 30% del malware en el sitio web. La protección de fuerza bruta es mediocre en el mejor de los casos. Intentamos atacar la página de inicio de sesión y, después de algunos inicios de sesión fallidos, vimos un captcha. Pero nuestra IP no se marcó y tampoco recibimos una alerta por correo electrónico. Sin embargo, cuando revisamos los registros, el ataque se registró.

Además, Jetpack detecta solo algunas de las vulnerabilidades del sitio web. De los 3 que habíamos instalado, marcó 2. En los casos en que los sitios web tienen muchas más vulnerabilidades, la proporción seguramente será mucho peor.

Ningún complemento de seguridad es perfecto, pero nos gustaría uno que sea lo más perfecto posible. Jetpack no es ese complemento.

Sucuri en pocas palabras

Sucuri tiene una revisión mixta de nuestra parte, porque su firewall y las funciones de limpieza de malware funcionaron bien, pero el escáner no funcionó en absoluto. El escaneo de malware debe ser del 100%, y ningún complemento de seguridad vale la pena sin un escáner que funcione.

Sucuri es uno de los complementos de seguridad de WordPress más populares disponibles en la actualidad y, sin embargo, se queda corto en un área crítica: el escaneo de malware. Si el escáner no funciona, no hay forma de saber que su sitio web está infectado con malware. Y si no sabes que lo es, no hay forma de que puedas abordarlo.

En los otros dos aspectos, firewall y limpieza de malware, a Sucuri le fue bien. El cortafuegos bloqueó la mayoría de los ataques y el servicio de eliminación de malware fue excelente. También hay algunas opciones útiles de endurecimiento en el tablero. Las solicitudes ilimitadas de eliminación de malware también son una gran oferta, especialmente en comparación con algunos de los otros servicios disponibles.

Por otro lado, la configuración y los ajustes fueron una pesadilla, especialmente el firewall. Tuvimos problemas para instalar el firewall sin un registrador de dominios y, francamente, fue un proceso frustrante. Los escaneos de seguridad también cargaron los recursos de nuestro servidor en la medida en que vimos la diferencia en nuestro sitio web. Afortunadamente, nuestro sitio web estaba en un alojamiento dedicado; de lo contrario, las empresas de alojamiento compartido nos habrían enviado un correo electrónico de infracción con bastante rapidez.

La conclusión aquí es que debe elegir entre seguridad y rendimiento con Sucuri. Ese es un compromiso terrible para hacer. En general, Sucuri es tanto un complemento de seguridad bueno como malo y, por lo tanto, una contradicción. No recomendamos una contradicción como medida de seguridad. Solo digo.

Cómo elegir el complemento de seguridad adecuado para WordPress

En un panorama de amenazas en constante cambio, un complemento de seguridad es la única forma de proteger su sitio web, datos, visitantes y negocios. Los piratas informáticos causan un daño tremendo con malware, robando dinero, datos e identidades de las personas. Como propietario de un sitio web, un complemento de seguridad es una parte esencial de su conjunto de herramientas de administración.

Sin embargo, elegir el complemento de seguridad correcto no es sencillo. Hay tantos complementos, cada uno de los cuales afirma ser mejor que el siguiente. Entonces, ¿cómo eliges el correcto?

En términos de seguridad, solo hay 3 características esenciales de un complemento de seguridad: escaneo de malware, limpieza de malware y firewall. Todo lo demás es un bono. Eso no quiere decir que la protección de fuerza bruta no sea importante, porque ciertamente lo es. Pero si no tiene los 3 esenciales, es mejor que no tenga los otros.

Al evaluar un complemento de seguridad, estos son los factores que debe buscar:

• Funciones de seguridad esenciales
  
  • Escaneo de malware
  • Limpieza de malware
  • cortafuegos
• Características de seguridad buenas para tener
  
  • Detección de vulnerabilidades
  • Protección de inicio de sesión de fuerza bruta
  • Registro de actividades
  • Autenticación de dos factores
• Problemas potenciales
  
  • Impacto en los recursos del servidor

El único complemento que tiene todas las funciones necesarias para proteger los sitios web de WordPress es MalCare. Como continuamos hablando en este artículo, cada uno de los demás falló de una forma u otra, especialmente decepcionándonos en las 3 áreas esenciales.

Sucuri vs Jetpack: comparación directa de características

Para que esta comparación sea lo más útil posible, hemos organizado las secciones en función de los criterios enumerados anteriormente. Estos son los aspectos más importantes de un complemento de seguridad, pero también queremos mencionar nuestras otras experiencias, como la facilidad de configuración, la relación calidad-precio, etc.

Hemos presentado nuestros hallazgos de manera justa y lo más concisa posible para ayudarlo a tomar la decisión correcta para la seguridad de su sitio web. Sin embargo, si necesita una solución de seguridad rápidamente, le recomendamos que instale MalCare para obtener una seguridad de WordPress sin igual.

Escaneo de malware

Ni SiteCheck ni el escáner a nivel de servidor de Sucuri detectaron el malware en nuestro sitio web. El escáner de Jetpack detectó parte del malware.

Sucuri tiene dos escáneres de malware: SiteCheck y un escáner a nivel de servidor que debe instalar desde su panel de control de Sucuri. Queríamos probar ambos, porque a menudo recomendamos SiteCheck, un escáner gratuito, como diagnóstico de primer nivel para sitios web. SiteCheck escanea las partes visibles públicamente de su sitio web, por lo que si no encuentra malware, no es garantía de un sitio web limpio. Sin embargo, no tiene que instalar SiteCheck para usarlo. A muchos administradores les resulta más fácil de usar en caso de que un servidor web haya suspendido su sitio o Google lo haya incluido en la lista negra.

Pasando al escáner a nivel de servidor, que viene con los planes premium de Sucuri, debe instalarlo en su servidor web. Tiene la opción de hacerlo manualmente o ingresar sus detalles de FTP para hacerlo desde su tablero. Una vez que lo tuvimos instalado, el escáner tardó mucho tiempo en verificar nuestro sitio web en busca de malware.

Cuando se completó el escaneo, los resultados mostraron que nuestro sitio web estaba libre de malware. Los resultados fueron erróneos, porque nuestra web estaba llena de malware, tanto en los archivos como en la base de datos. Luego intentamos ejecutar el escaneo nuevamente unas horas más tarde, pero los resultados fueron los mismos. Aparentemente, no había malware en nuestro sitio web gravemente pirateado.

El escáner está configurado para ejecutarse una vez al día, pero puede solicitar escaneos ad hoc. Las solicitudes se ponen en una cola y luego se ejecutan. Lo único aquí es que Sucuri le advierte sobre ejecutar demasiados escaneos, porque los escaneos consumen recursos del servidor. Eso no es bueno. Los escaneos no deberían consumir los recursos de un sitio web porque eso tiene un impacto en el rendimiento del sitio web. Volveremos a este punto más adelante en el artículo.

Jetpack tiene un escáner de malware en sus planes pagos, y después de ver cómo Sucuri fallaba en la parte de escaneo, nos sorprendió gratamente ver que Jetpack en realidad marcó parte del malware.

Sin embargo, la emoción duró poco, porque Jetpack no marcó todo el malware. De hecho, no detectó una gran cantidad de malware. Entonces, aunque lo hizo mejor que Sucuri en este aspecto, detectar algo de malware es tan bueno como no detectarlo. Es probable que el sitio web permanezca pirateado como resultado. Para un análisis completo de su sitio web, no busque más que el escáner de malware MalCare.

Limpieza de malware

Jetpack no tiene limpieza de malware. Sucuri tiene un excelente servicio manual de limpieza de malware que eliminó el malware de nuestro sitio web en 12 horas.

Estamos en conflicto con Sucuri en este punto, porque si bien su servicio de limpieza nos impresionó mucho, el escáner le había dado a nuestro sitio pirateado una nota limpia. Según esos resultados, teóricamente no habríamos sabido que nuestro sitio web tenía malware. Pero como se trataba de una actividad de prueba, solicitamos una limpieza manual sabiendo que nuestro sitio definitivamente tenía malware.

Según nuestro plan, podríamos esperar que nuestra limpieza se haya realizado dentro de las 30 horas. A primera vista, es mucho tiempo de espera si su sitio web es pirateado. Si su sitio web está en la lista negra de Google, por ejemplo, el tiempo que pasa es una pérdida de ingresos. Sin embargo, recuperamos un sitio limpio en menos de 10 horas. Quedamos muy impresionados.

Para solicitar una limpieza de malware de Sucuri, debe completar un formulario con todos los detalles que puede ingresar. Indique sus habilidades tecnológicas, ingrese sus credenciales de FTP y obtendrá un sitio limpio. Verificamos el sitio limpio con MalCare y estaba impecablemente limpio. ¡Fantástico! El equipo nos dio una lista de verificación posterior a la limpieza, nos advirtió sobre las vulnerabilidades en el sitio web y estábamos listos para comenzar.

Excepto por una pequeña cosa: después de que el equipo de Sucuri eliminó el malware y MalCare lo confirmó, el escáner de Sucuri dijo que el sitio había sido pirateado. ¿Después de que lo limpiara su equipo? Imagínate.

Los planes de seguridad de Jetpack no incluyen la eliminación de malware, aunque dicen que pueden eliminar algunas infecciones. Después de ejecutar el escáner de malware, vimos que parte del malware estaba marcado, pero nada se podía reparar. De hecho, en todos los casos de malware marcados, Jetpack recomienda amablemente que nos acerquemos a un servicio de eliminación de malware.

Nuestra preocupación con Jetpack es que, al marcar la ubicación del malware y el código en sí, parece recomendar la limpieza manual como una opción. Esta no es una sabia decisión. Los sitios web pirateados son campos de minas, especialmente porque el malware puede esconderse en cualquier lugar. La limpieza manual de malware es propensa a errores humanos y corre el riesgo de romper el sitio web por completo.

Un servicio de eliminación de malware es una propuesta costosa y no hay garantía de que su sitio web no sea pirateado nuevamente. Los costos pueden acumularse significativamente en ese caso. Los planes de Sucuri tienen limpiezas ilimitadas, lo cual es genial. Nuestro único problema con Sucuri es que el escáner no lo alertará sobre la mayoría del malware, entonces, ¿cómo sabría cuándo solicitar una limpieza?

Usamos MalCare para buscar malware y también para limpiar nuestro sitio web en minutos. La función de limpieza automática eliminó el malware de nuestro sitio, sin necesidad de credenciales de FTP ni de solicitar una eliminación. Fue indoloro y continuo, y casi instantáneo. Difícil de superar eso.

cortafuegos

El firewall de Sucuri hizo un trabajo decente al lidiar con los ataques más comunes, pero fue una pesadilla instalarlo. Jetpack no tiene un cortafuegos.

Sucuri tiene un firewall incluido con sus planes de seguridad, pero también tiene planes de firewall independientes. Queríamos probar la eficacia del cortafuegos, así que intentamos configurarlo en nuestro sitio web.

Antes incluso de hablar sobre cómo funciona el firewall, debemos tomarnos un tiempo para expresar cuán terrible es la experiencia de instalar el firewall de Sucuri. Teníamos un plan premium existente y ya había un sitio web configurado para el firewall. Entonces, cuando intentamos reemplazar ese sitio web con nuestro sitio web de prueba, Sucuri simplemente se negó a ceder.

El problema aquí es que para usar el firewall, debe apuntar el DNS de su sitio web a los servidores de nombres del firewall. Lo que significa que todo el tráfico que llegue a su sitio web pasará primero por el firewall de Sucuri y luego será redirigido a su sitio web. Si esto suena complicado, es porque es increíblemente complicado.

En cualquier caso, pudimos configurar un sitio de prueba con vulnerabilidades como carga de archivos sin restricciones, XSS e inyección de SQL después de unos días. El firewall bloqueó todos nuestros intentos de explotar estas vulnerabilidades y cargar archivos maliciosos.

Con toda transparencia, no pudimos probar ataques más complejos en nuestro marco de tiempo dado. Sin embargo, todo lo que lanzamos al cortafuegos de Sucuri fue detenido.

Los cortafuegos son una parte integral de la seguridad de su sitio web. Mantienen alejado el malware al evitar que los piratas informáticos exploten las vulnerabilidades en el sitio web. Jetpack no tiene uno, y eso es un gran agujero en su complemento de seguridad.

MalCare hace un excelente trabajo al proteger su sitio web contra diferentes tipos de ataques. Y es fácil de configurar a diferencia de Sucuri.

Detección de vulnerabilidades

Tanto Jetpack como Sucuri detectaron solo algunas de las vulnerabilidades en nuestros sitios web.

Una vez que instalamos el escáner del lado del servidor de Sucuri, el escaneo nos dijo que teníamos algunas vulnerabilidades en nuestro sitio web. El escáner no detectó algunos de los más oscuros y básicamente recomendó que actualizáramos los complementos y temas obsoletos.

Curiosamente, hay una pestaña posterior a la piratería en el complemento Sucuri en wp-admin. Tiene una lista de versiones de los complementos y temas instalados, junto con las últimas versiones. En la letra pequeña de esta página, Sucuri menciona que el software desactualizado es un peligro para la seguridad y, a menudo, conduce a infecciones de malware.

El equipo de Sucuri también nos envió una lista de recomendaciones para actualizar los complementos y temas obsoletos, a fin de abordar las vulnerabilidades. Nuevamente, solo pudieron detectar algunas de las vulnerabilidades, no todas.

El escáner de Jetpack también detectó algunas de las vulnerabilidades y nos dio una opción de reparación automática; esencialmente, podríamos actualizarlos. Hay poco para diferenciar entre Sucuri y Jetpack en este caso. La interfaz de Jetpack fue más fácil de administrar, pero, de nuevo, Sucuri es un complemento mucho más complicado en general.

Protección de inicio de sesión de fuerza bruta

Jetpack agrega un captcha a la página de inicio de sesión después de varios intentos de inicio de sesión fallidos, pero no bloquea la IP. Sucuri no parece tener una función de protección de inicio de sesión en funcionamiento.

Jetpack tiene protección de inicio de sesión de fuerza bruta en sus planes gratuitos y de pago. Cuando intentamos usar la fuerza bruta en la página de inicio de sesión, vimos que se agregaba un captcha numérico después de 10 intentos fallidos. Los registros muestran todos los intentos de inicio de sesión fallidos después de los primeros 3 como un ataque de fuerza bruta.

Jetpack también tiene una función elaborada de lista blanca de IP, por lo que asumimos que en algún momento podríamos quedarnos fuera del sitio web por completo. Sin embargo, eso no sucedió en absoluto. Probamos más de 50 contraseñas incorrectas para la cuenta de administrador en menos de un minuto y no sucedió nada.

Francamente, la lista blanca de IP es un poco como un lavado de ojos. Las direcciones IP de los dispositivos pueden cambiar, por lo que incluir en la lista blanca la dirección IP de un administrador no es una garantía contra un posible bloqueo. Sin embargo, si la función existe, debería funcionar. Pero no fue así.

Pensamos que Sucuri lo haría mucho mejor que Jetpack en este punto, porque tiene un elaborado conjunto de opciones para configurar alertas de fuerza bruta. Puede establecer el umbral en el que un ataque se considera fuerza bruta. Sin embargo, los límites no son realistas, porque existe la opción de considerar 30 intentos fallidos por hora como un ataque, mientras que en realidad, un ataque de fuerza bruta golpea la página de inicio de sesión con más de 100 solicitudes por minuto. De hecho, generalmente hay tantas solicitudes de inicio de sesión que el servidor no puede manejarlas.

Para resumir, Sucuri no nos alertó sobre ataques de inicio de sesión. Los ataques aparecieron en los registros de auditoría, pero no recibimos ninguna alerta.

Registro de actividades

Los registros de Jetpack son geniales. Realizan un seguimiento de cada acción del usuario y del complemento. Los registros de auditoría de Sucuri también funcionan, pero pueden ser completamente incomprensibles.

Los registros de auditoría de Sucuri rastrean todas las acciones del usuario y los cambios de complementos y temas. Todos los cambios realizados en los archivos y tablas se muestran en los registros de auditoría. Hasta ahora, todo bien. También hay una opción para configurar una clave API para evitar que los atacantes eliminen registros, al permitir que Sucuri guarde los registros de su sitio web fuera del sitio.

Los registros recopilan la información necesaria, como usuario, acción, marca de tiempo, etc. Sin embargo, notamos que, en algunos casos, son muy difíciles de entender. Caso en cuestión: instalamos un complemento de galería en nuestro sitio web. Los registros registraron 7 entradas diferentes para el complemento, lo que indica que se cambiaron 7 archivos. O eso pensábamos. En realidad, estaba registrando cambios en la plantilla de publicación, pero no pudimos descifrar nada de eso a partir de los registros.

Jetpack tiene una excelente función de registro de actividad y está disponible para obtener una vista previa en los planes gratuitos. Los registros muestran toda la actividad de usuarios, complementos y temas, además de mostrar cosas que requieren atención inmediata, como malware detectado o vulnerabilidades.

Sin embargo, los datos de Jetpack solo llegan hasta 30 días. Idealmente, los registros deberían guardarse durante un período de tiempo mucho más largo.

Autenticación de dos factores

Ninguno de los complementos de seguridad tiene autenticación de dos factores.

No hay mucho de qué hablar en esta sección, porque ni Jetpack ni Sucuri tienen autenticación de dos factores para sus sitios web.

Sin embargo, cuando estábamos probando los complementos, buscamos la autenticación de dos factores en Sucuri. De hecho, existe una autenticación de dos factores en el panel de control de Sucuri, pero estaba disponible para su cuenta de Sucuri. No es su sitio web.

Uso de recursos del servidor

Ambos complementos consumirán recursos del servidor para realizar escaneos en su sitio web. El escáner de Sucuri ralentizó notablemente nuestro sitio web.

Le damos puntos a Sucuri por su honestidad, porque afirman usar los recursos del servidor para escanear directamente en el tablero. Aparte de eso, es terrible que lo hagan.

Los escaneos de Sucuri mostraron una falla notable en el uso de la CPU de nuestro servidor. Y nuestros sitios de prueba son pequeños; apenas más de 100 MB para el más grande. Si tuviéramos un sitio de WooCommerce o uno con una gran base de datos, el rendimiento del sitio web se vería seriamente afectado. Además, los escaneos de Sucuri también toman una cantidad considerable de tiempo. Así que el impacto continuaría por un tiempo.

Además del uso de la CPU, en la Configuración general de wp-admin, verá que Sucuri usa su servidor para almacenar datos. Incluso si el espacio de almacenamiento es insignificante, el punto sigue siendo que se está utilizando el espacio del servidor de su sitio web.

Jetpack también tuvo un impacto en los recursos del servidor. Por supuesto, no fue tan notable como los escaneos de Sucuri, pero aún así no es ideal en absoluto.

Honestamente, no estamos impresionados por este estado de cosas. Ningún administrador de sitio web debería tener que elegir entre seguridad y rendimiento. La falta de cualquiera de los dos puede afectar los ingresos de manera importante, por lo que no debería ser una compensación.

Alertas

Las alertas de Sucuri pueden llenar su bandeja de entrada en una hora, por lo que debe estar absolutamente seguro de lo que desea recibir alertas. Jetpack envía alertas solo sobre las cosas críticas.

Sucuri te permite personalizar el formato de las alertas, enviarlas para acciones específicas, enviarlas a determinadas personas, etc. También puede configurar una configuración para ignorar ciertas direcciones IP para que no activen una alerta.

La gran cantidad de opciones para las alertas de Sucuri es asombrosa. Por supuesto, solo necesita configurarlo una vez y luego olvidarse de él. Pero realmente, las opciones en sí merecen una mención especial. Y si el número no fuera lo suficientemente desalentador, la jerga tecnológica fue totalmente desagradable.

En última instancia, las alertas son demasiado granulares para ser útiles. Un administrador debería poder confiar en su complemento de seguridad para alertarlo sobre las cosas que deben tratarse y filtrar todo el ruido. En el caso de Sucuri, estamos bastante seguros de que existe una buena posibilidad de perder la señal con todo el ruido.

Jetpack maneja las alertas con elegancia. No hay un millón de opciones para examinar, y el complemento le enviará alertas sobre las cosas que necesitan su atención. Como vulnerabilidades y malware, por ejemplo.

Además, también probamos la función de monitoreo del tiempo de inactividad de Jetpack. Se supone que debe alertarnos si el sitio se cae, pero no lo hizo. Bloqueamos el sitio de diferentes maneras y vimos que Jetpack no registró esos bloqueos en absoluto.

Aunque el monitoreo del tiempo de inactividad no es una característica de seguridad como tal, es una métrica importante para su sitio web. Los sitios web inactivos o colapsados ​​son a menudo una indicación de actividad de piratas informáticos o malware. La función de tiempo de inactividad de Jetpack no funciona.

Instalación, configuración y usabilidad

Sucuri fue fácil al principio, pero se hizo progresivamente más difícil. Jetpack fue fácil de configurar, pero la interfaz lo empuja constantemente hacia una actualización.

La instalación de Jetpack fue tediosa. Aunque su complemento esté instalado, no hay forma de avanzar sin crear un tablero de WordPress.com. Sin embargo, sirve como su panel de control externo, por lo que necesita la cuenta. Es un poco desconcertante que te lleven de un lado a otro de tu propio panel de control al de Jetpack sin una comprensión clara de cuándo y por qué es necesario.

La instalación de Sucuri fue fácil y el escáner frontal comenzó a funcionar de inmediato. Para acceder a las funciones pagas, como el firewall y el escáner del lado del servidor, debe crear una cuenta en Sucuri. Sin embargo, la versión gratuita es autosuficiente.

El panel externo de Jetpack es cómodo de usar porque imita a wp-admin. Sin embargo, hay un montón de funciones bloqueadas según su plan, por lo que no es la mejor experiencia para el usuario ver 'actualizar' en todas partes. Algunas de las métricas son inútiles desde el punto de vista de la seguridad, por lo que, en general, no estamos enamorados de la interfaz de Jetpack.

Dicho esto, preferiríamos la interfaz de Jetpack a la de Sucuri. Si tuviéramos que describir Sucuri en una palabra, esa palabra sería confusión. Hay tanta jerga tecnológica en la configuración y los ajustes. De hecho, pasamos horas tratando de averiguar qué significaban algunos de los términos. Además, las descripciones son inútiles y, en algunos casos, condescendientes. No estoy seguro de por qué alguien pensó que era una buena idea escribir descripciones que digan efectivamente: si no sabe lo que esto significa, mejor déjelo en paz.

Configurar el firewall de Sucuri fue una pesadilla. Puede parecer sencillo si tiene acceso a un registrador de dominios y los conocimientos necesarios para jugar con los servidores de nombres (que, por cierto, tardan unas horas en actualizarse). Nuestro sitio de prueba no tiene un dominio, porque no queremos que Google lo indexe o que la gente acceda a él accidentalmente, por lo que cambiar los servidores de nombres no fue una tarea sencilla. Si alguien quisiera configurar el firewall en un sitio de prueba, le resultaría difícil hacerlo sin la asistencia de ingeniería.

Mochila propulsora: extras

Jetpack combina múltiples tareas de administración de WordPress en un solo complemento, por lo que hay muchos extras. Nos gusta que tenga copias de seguridad, porque las copias de seguridad son muy importantes para cualquier sitio web. Aparte de eso, la cuenta de WordPress.com es familiar de usar, aunque si tiene varios sitios web en una cuenta, es tedioso alternar entre ellos para la administración.

Sucurí: Extras

Sucuri tiene un montón de campanas y silbatos adicionales en su complemento. A diferencia de Jetpack que ofrece más que seguridad, Sucuri solo se trata de seguridad. Así que intentamos investigar las características para ver qué podría tener un impacto en la seguridad.

Cuando instala el complemento, lo primero y más grande que verá es el cuadro de información de integridad de WordPress. Se ve realmente impresionante, pero en realidad es una versión muy elegante de un monitor de cambio de archivo principal de WordPress. Obviamente, es útil tener un monitor de cambios de archivos para los archivos centrales, especialmente porque se sabe que el malware infesta los archivos centrales con regularidad. Sin embargo, la prominencia y la ubicación son engañosas, en nuestra opinión. Un monitor de cambio de archivo no es el alcance de la seguridad de WordPress. Francamente, ni siquiera es el principio.

También hay una utilidad de diferencia de integridad para comparar los archivos principales en el sitio web con la compilación original. Es más fácil que usar un verificador de diferencias en línea para archivos principales, si está limpiando manualmente el malware.

Sucuri tiene un montón de opciones de refuerzo de WordPress. Algunos de ellos son útiles, mientras que otros son trucos más antiguos que desde entonces han dejado de ser útiles en cuanto a seguridad.

Por ejemplo, bloquear PHP en la carpeta de carga es una buena idea, al igual que la capacidad de cambiar las sales de WordPress fácilmente desde el tablero. Sin embargo, esto no es un respaldo inequívoco. Habría sido mucho más seguro tener la función en el tablero de Sucuri en lugar de en wp-admin. Si un pirata informático obtiene acceso al backend del sitio web, las sales se verán comprometidas porque se muestran en texto sin formato.

Cosas como verificar la versión de WordPress, eliminar la versión de WordPress, evitar la fuga de información y verificar la cuenta de administrador predeterminada son características de seguridad sin sentido. Hacen muy poco para asegurar el sitio web de manera concreta. Olvídese de la industria de la seguridad, incluso los piratas informáticos se han alejado de estos trucos.

Algunas de las características de endurecimiento nos desconcertaron. Si elegimos deshabilitar el complemento y el editor de temas, ¿cómo actualizaríamos nuestros complementos y temas cuando se descubran vulnerabilidades? Además, Sucuri almacena archivos PHP en la carpeta de carga, por lo que cortar todo acceso externo significa que no podrán acceder a sus propios archivos. Tal vez haya una regla que les permita ese acceso, pero esto no está del todo claro para un usuario final.

Hay una función de administración de contraseñas, pero la advertencia que la acompaña asustaría a la mayoría de las personas para que nunca la usen: “Seleccione usuarios de la lista para cambiar sus contraseñas, finalice sus sesiones y envíeles un correo electrónico con un enlace de restablecimiento de contraseña. Tenga en cuenta que el complemento cambiará las contraseñas antes de enviar los correos electrónicos, lo que significa que si su servidor web no puede enviar correos electrónicos, sus usuarios no podrán acceder al sitio”.

Lo que le falta a Jetpack y Sucuri

Nuestro mayor problema con Sucuri es el hecho de que el escáner de malware no funciona. Habríamos esperado que detectara parte del malware, teniendo en cuenta el uso generalizado de Sucuri en los sitios web. ¡Pero no detectó nada! Imperdonable en nuestra opinión.

Jetpack no tiene un firewall ni limpieza de malware, automatizado o de otro tipo. Hace la mitad del trabajo de encontrar el malware que ya está en el sitio web, pero nada para eliminarlo o protegerlo. Nada cerca de lo adecuado, en términos de seguridad.

Sucuri vs Jetpack: Precios

El plan premium más bajo de Sucuri cuesta $199.99 al año por sitio. Es una buena oferta para las solicitudes ilimitadas de eliminación de malware que puede tener. El firewall también es decente, pero el escáner es terrible. No es del todo una buena relación calidad-precio. Jetpack no es un buen complemento de seguridad por el precio de $300.

Si tuviéramos que pagar $ 300 por un complemento de seguridad, le pediríamos mucho a ese complemento: un escáner de malware infalible, un firewall y opciones de limpieza. Jetpack no tiene ninguno de estos. Ayudó a identificar parte del malware, detectar algunas de las vulnerabilidades y tener una protección de fuerza bruta promedio.

La eliminación ilimitada de malware es un gran punto positivo a favor de Sucuri. El tiempo de respuesta fue excelente, se compartió con nosotros una lista de verificación posterior al ataque y se limpió todo el malware. Pero, y este es un gran pero, el escáner de malware fue un completo fracaso. Nos decepcionó mucho que no detectara un destello de malware. Y, sin embargo, el equipo lo limpió todo. Si Sucuri pudiera llevar parte de la energía de limpieza manual de malware al escáner, se convertiría en un complemento formidable. Hasta entonces, sin embargo, no tanto.

Mejor alternativa a Jetpack y Sucuri: MalCare

En este artículo, presentamos todos nuestros hallazgos de sesiones de prueba intensivas. Ni Jetpack ni Sucuri funcionan de manera efectiva para proteger los sitios web de WordPress de los piratas informáticos y su malware. Si ha leído hasta aquí el artículo, sabe que la seguridad no es negociable. Por lo tanto, invertir en un complemento de seguridad sólido y confiable es el camino a seguir.

El mejor complemento de seguridad de WordPress disponible en la actualidad es MalCare. MalCare tiene un escáner de malware de primer nivel, limpieza automática de malware y un firewall avanzado para proteger su sitio web de ataques.

En una comparación característica por característica entre todos los demás complementos de seguridad, MalCare también resulta ser significativamente más económico. Contra los fuertes $ 300 de Jetpack, el plan de $ 150 de MalCare es una oferta mucho mejor para muchas más funciones. De manera similar para Sucuri, el plan de $99 de MalCare es mucho mejor que su plan de plataforma básica de $199.99.

Conclusión

Un complemento de seguridad es una parte esencial de su conjunto de herramientas administrativas. Es una de esas cosas que deberían requerir una intervención mínima y trabajar fuera de la caja. MalCare tiene la mejor seguridad, sin el ruido innecesario que la mayoría de los otros complementos traen a la mesa. Es una inversión que vale la pena para proteger sus ingresos de los piratas informáticos.

¿Te ayudó este artículo? Contactanos y haznos saber. ¡Nos encantaría saber de usted!