Sucuri vs Wordfence: qué complemento de seguridad es mejor para su sitio web de WordPress
Publicado: 2022-04-22Wordfence y Sucuri son los campeones de peso pesado de los complementos de seguridad de WordPress. En cualquier conversación, inevitablemente surgen y las personas están divididas sobre cuál es el mejor complemento de seguridad.
Sucuri tiene un popular escáner en línea, que los administradores de sitios web utilizan ampliamente para detectar malware. Su complemento también tiene un escáner del lado del servidor, un firewall y muchas otras características de seguridad. Sucuri ofrece eliminación ilimitada de malware con cualquiera de sus planes.
Wordfence es el líder indiscutible de los complementos de seguridad de WordPress. El equipo complementa su complemento de seguridad con una gran cantidad de contenido educativo, lo que ayuda a los administradores a comprender cómo proteger su sitio web de los piratas informáticos. El complemento tiene un escáner y un firewall, y también puede eliminar algunos programas maliciosos. Ellos también tienen un servicio de eliminación de malware, pero esa es una característica premium bajo demanda.
Para responder cuál es mejor en la batalla Sucuri vs Wordfence, probamos ambos complementos exhaustivamente. Como verá en el resto del artículo, las pruebas fueron diseñadas para hacer que los complementos se disparen para que pueda tomar la mejor decisión para la seguridad de su sitio web.
5 complementos de seguridad, 3 sitios web, 45 días y mucho malware. Los resultados fueron concluyentes.
VEREDICTO Sucuri vs Wordfence no es una pregunta simple. Ambos tienen escáneres de malware y firewalls. Wordfence tiene un limpiador automático y un costoso servicio de eliminación de malware, mientras que Sucuri solo tiene limpiezas ilimitadas con sus planes. Después de sopesar todos los factores, Wordfence es el ganador seguro. Sigue leyendo para saber más.
nuestra selección
Para esta serie, desarrollamos 3 sitios web de prueba: primero, un blog simple con muchas imágenes y comentarios como control; segundo, un sitio con muchos complementos vulnerables y temas de diferentes niveles de oscuridad; y, por último, un sitio cargado con diferentes tipos de malware.
Los criterios para un complemento efectivo son múltiples, pero queríamos concentrarnos en una pregunta simple: ¿el complemento hace un buen trabajo al proteger su sitio web contra piratas informáticos y malware?
45 días después, tuvimos nuestra respuesta. Para 4 de 5 complementos, la respuesta fue no. 1 complemento ganó en todos los aspectos. Ese complemento es MalCare.
MalCare tiene el mejor escáner de malware que hemos visto, y detecta el malware de los archivos, la base de datos y las carpetas, independientemente de lo bien que esté oculto. Tiene un limpiador automático que realmente funciona, limpiando solo malware con precisión quirúrgica. Y finalmente, un firewall avanzado que bloquea las amenazas que pueden explotar su sitio web.
El mejor complemento de seguridad para su sitio de WordPress es inequívocamente MalCare.
Resumen de la comparación Sucuri vs Wordfence
En esta batalla campal, Wordfence es el ganador. Sin embargo, debemos admitir que estuvo cerca, porque Sucuri también tiene sus puntos.
Podemos ver por qué la gente se preocupa tanto por cuál es mejor, porque las fallas de Wordfence son las fortalezas de Sucuri, y viceversa. Entonces, dependiendo de la experiencia personal de un individuo, recomendarán el complemento que resolvió su problema particular.
Pero debido a esto, no hay una respuesta objetiva sobre cuál es mejor para todos los sitios de WordPress. Y la respuesta a eso es tampoco. No debería tener que comprometer un aspecto de seguridad u otro. Tenga todo obteniendo MalCare en su lugar.
Wordfence en pocas palabras
Wordfence es el mejor complemento de seguridad para un sitio de WordPress después de MalCare. La versión gratuita es robusta, con excelentes funciones de seguridad. El escáner detecta la mayoría del malware basado en archivos y puede limpiar la mayor parte de lo que detecta. El firewall es uno de los más actualizados y bloquea varias amenazas. Las desventajas son que el rendimiento del sitio web se ve muy afectado con Wordfence, y su servicio de limpieza de malware es costoso.
El escáner de Wordfence pudo detectar todo el malware basado en archivos que habíamos insertado en nuestros complementos y temas gratuitos. Si eso suena extrañamente específico, es porque lo es. No pudo detectar el malware que estaba en la base de datos, ni el malware insertado en complementos y temas premium. Esto se debe a que el mecanismo de detección de coincidencia de archivos que usa Wordfence depende en gran medida del código disponible públicamente.
Los resultados del escaneo marcaron malware y las vulnerabilidades en los temas y complementos instalados. Curiosamente, Wordfence también marcó algunos de nuestros complementos premium como malware o errores. Estos son falsos positivos, que podemos ver porque estamos acostumbrados a hurgar en el código de WordPress. Sin embargo, algunos administradores de sitios web pueden terminar eliminando complementos perfectamente viables debido a esto.
Además, había una opción para reparar automáticamente los archivos cargados de malware después de que se mostraran los resultados del análisis. Lo intentamos y funcionó. Todo el malware detectado se eliminó del sitio web. Por supuesto, no puede reparar el malware que no pudo detectar en primer lugar.
A continuación, probamos el cortafuegos. Fue efectivo, bloqueando muchas de las amenazas que le lanzamos. Pero cada vez que el cortafuegos bloqueaba una amenaza, recibíamos una alerta. Hubo tantas alertas durante nuestras pruebas que solo podemos imaginar lo que sucederá en un sitio en vivo. El administrador seguramente se sentirá abrumado y perderá las alertas críticas.
Además de estos tres criterios principales, hay muchas otras opciones disponibles en Wordfence. La protección de fuerza bruta es excelente y la autenticación de dos factores funciona de maravilla.
Lo que realmente elevó el complemento varias muescas fue su excelente usabilidad. Wordfence es un complemento de seguridad complejo, pero también es accesible para los principiantes. La forma en que se presenta el tablero, con los consejos y la documentación que lo acompaña, cualquiera puede configurar el complemento de seguridad, sin que su sitio quede inutilizable accidentalmente. Esta es una gran ventaja en nuestra opinión, especialmente cuando se compara con Sucuri, como verá más adelante.
Sorprendentemente, Wordfence no tiene un registro de actividad, lo que nos pareció muy extraño. Pero la verdadera decepción es que es un sumidero de recursos. Cada escaneo que ejecutamos en nuestro sitio web hizo que el uso del disco aumentara y el rendimiento del sitio web cayera en picado. Es por esta razón que muchos servidores web han prohibido Wordfence.
En resumen, Wordfence es un complemento de seguridad excelente, pero con graves lagunas. Por todos los beneficios que tiene, y ninguno de los defectos, MalCare es el camino a seguir.
Sucuri en pocas palabras
Sucuri tiene un buen firewall y su servicio de eliminación de malware fue excelente. Pero el escáner de malware no pudo detectar ningún malware, a pesar de que su equipo lo eliminó más tarde. Un complemento de seguridad sin un escáner de malware en funcionamiento no es efectivo.
Sucuri es el único otro complemento que tiene alguna posibilidad de ser considerado junto con MalCare y Wordfence, porque al menos a veces funciona como un complemento de seguridad. Jetpack e iThemes fueron cancelados.
Podría decirse que es uno de los complementos de seguridad más populares que existen, pero aún falla en un área fundamental: el escaneo de malware. Como veremos más adelante, su servicio de eliminación de malware es de primera categoría. Fueron eficientes y rápidos, respondiendo a nosotros antes de lo esperado y haciendo un buen trabajo limpiando el sitio web. Sin embargo, si no fuera un sitio web de prueba que creamos y rellenamos con malware, nunca hubiéramos sabido que estaba infectado en primer lugar porque el escáner nos dio una ficha limpia para los piratas informáticos. Entonces, en efecto, Sucuri es un caso clásico de poner el carruaje delante del caballo. Debe saber que el sitio está pirateado para limpiarlo, pero no hay forma de saber que está pirateado con el escáner de Sucuri.
Continuando, el firewall funcionó bien. Eliminó ataques como inyecciones de SQL y ataques de ejecución remota de código de manera fácil y consistente. Pero fue una pesadilla montarlo. Debido a que estamos usando sitios de prueba, hubo muchos problemas al cambiar los servidores de nombres para que apunten a las direcciones IP del firewall de Sucuri en lugar de a nuestro sitio web de prueba. Si algo de esa última oración no tiene sentido, está bien. Nos tomó mucho tiempo configurarlo también. Para ser justos, no encontrará tanta dificultad en sus sitios en vivo, pero ¿quiere configurarlo para un sitio local o de prueba? Espera problemas.
Ya estábamos frustrados con el cortafuegos, cuando miramos las otras opciones de configuración. ¿Por qué es todo tan complicado? El lenguaje es confuso y, en algunos casos, francamente condescendiente. Y eso fue antes de que nos diéramos cuenta de que cada exploración de seguridad ralentizaba nuestros sitios web de prueba. Cuando verificamos el uso del disco del servidor, hubo un aumento alarmante.
Sucuri usa los recursos del sitio para escanear en busca de malware, un escáner que no funciona, recuerde. Por lo tanto, no hace lo que se supone que debe hacer y, aun así, arruina el rendimiento del sitio. No es un gran look para Sucuri.
¿Qué complemento de seguridad vale su dinero?
Los consejos de seguridad de WordPress son innumerables y bien intencionados, pero a menudo son malos consejos. Hemos visto personas que abogan por iThemes, uno de los peores complementos de seguridad que hemos visto, porque sus sitios web nunca han sido pirateados, descartando por completo el hecho de que actualizan los complementos regularmente, usan buenas contraseñas, no usan software anulado y tienen una gran dosis de suerte. Si GoDaddy puede tener una violación de datos, también puede hacerlo su sitio web.
El quid de la cuestión es cómo elegir un buen complemento de seguridad. Hemos compilado una lista esencial, deshaciéndonos de cosas que no están relacionadas con la seguridad.
- Funciones de seguridad esenciales
- Escaneo de malware
- Limpieza de malware
- cortafuegos
- Características de seguridad buenas para tener
- Detección de vulnerabilidades
- Protección de inicio de sesión de fuerza bruta
- Registro de actividades
- Autenticación de dos factores
- Problemas potenciales
- Impacto en los recursos del servidor
Como puede ver, solo hay 3 características esenciales de las que debe preocuparse. Un complemento de seguridad debería ser excelente en estas 3 cosas: escaneo de malware, limpieza de malware y firewall. Todo lo demás es salsa. No descartamos la protección de fuerza bruta o la autenticación de dos factores, porque también son importantes. Pero puede obtener otros complementos para esa funcionalidad.
MalCare es el único complemento de seguridad que tiene excelentes capacidades de escaneo y limpieza de malware, y un firewall avanzado que evita las amenazas. Todos los demás complementos fallan en un lugar u otro.
Sucuri vs Wordfence: comparación directa de características
Elegir el complemento de seguridad correcto puede ser una experiencia desconcertante, especialmente cuando tiene que probar la eficacia de cada uno, esperando todo el tiempo que funcione.
En esta sección, hemos presentado los resultados de nuestras pruebas organizados por función. Comparar y contrastar las mismas características entre complementos brinda una imagen más clara de la efectividad del complemento de seguridad.
Hemos detallado nuestros resultados de la manera más justa y transparente posible, con el fin de ayudar a las personas a elegir mejor sus sitios web. Sin embargo, si desea proteger sus sitios web rápidamente, instale MalCare y salte hasta el final.
Escaneo de malware
Sucuri tiene 2 escáneres: uno en línea llamado SiteCheck y uno a nivel de servidor que es parte del complemento. Ambos no detectaron malware. Wordfence tiene un escáner de malware decente, que puede detectar scripts maliciosos en archivos y carpetas principales, y en complementos y temas gratuitos. De lo contrario, se perdió el malware en la base de datos y los complementos y temas premium.
A menudo recomendamos Sucuri SiteCheck como un diagnóstico de primer nivel para malware, en caso de que alguien sospeche que su WordPress ha sido pirateado. No puede escanear el sitio web completo, pero puede identificar infecciones de malware comunes rápidamente y sin la necesidad de instalar un complemento para ese propósito expreso.
Teníamos mayores expectativas del escáner a nivel de servidor, considerando que tendría acceso total al sitio web. La instalación es un poco diferente en comparación con otros complementos, porque el escáner debe instalarse en su servidor web. Esto se puede hacer manualmente o ingresando los detalles de FTP en su tablero. Terminamos la instalación y esperamos a que se completara el escaneo.
Un tiempo considerable más tarde, el escaneo se completó y nuestro sitio web plagado de malware aparentemente estaba libre de ataques. Ejecuté el escaneo por segunda vez para ver si hubo un error la primera vez. No, todavía no hay malware según Sucuri. Gran fracaso.
En la instalación, Sucuri está configurado para ejecutarse una vez al día, pero puede solicitar análisis bajo demanda. Las solicitudes se ponen en cola y luego se ejecutan según la disponibilidad. El complemento en sí le advertirá que escanear su sitio web consumirá recursos del servidor y, por lo tanto, afectará el rendimiento de su sitio web. Honestamente, eso es terrible porque la seguridad no debería ser a expensas del rendimiento y la experiencia del usuario. Vamos a entrar en eso con más detalle en otra sección.
Wordfence también ejecuta un escaneo automáticamente durante la instalación. Sin embargo, aquí hubo un poco de confusión, porque asumimos que el círculo de porcentaje en el tablero era el progreso del escáner. Después de que vimos que no había superado el 60% durante unas horas, observamos más de cerca y nos dimos cuenta de que era una medida de la eficiencia del escáner. Para llegar al 100%, debe actualizar el complemento.
Reinicié el escáner para comparar cuánto tiempo tomó, y debido a que nuestros sitios de prueba son pequeños, el escáner se realizó en menos de un minuto. Eso es definitivamente una ventaja. Sin embargo, los resultados del escaneo solo estuvieron por encima del promedio, no perfectos, porque detectó la mayor parte del malware, no todo.
La razón de esto es que Wordfence utiliza la coincidencia de firmas para detectar malware. Esto significa que el escáner de Wordfence compara el código de su sitio web con una base de datos de firmas de malware. Si hay una coincidencia, el escáner lo marca como malware. Si bien Wordfence tiene una formidable base de datos de malware, que actualiza regularmente en función de su investigación de seguridad, nunca puede estar completa al 100 % porque el equipo tendría que haber visto el malware para actualizarlo en la base de datos, e independientemente de la investigación exhaustiva, nuevos el malware aparece todo el tiempo
Por lo tanto, Wordfence es experto en detectar malware que se encuentra en los archivos y carpetas principales de WordPress, así como scripts maliciosos en complementos y temas gratuitos. Pero no puede detectar malware en software premium, como Elementor, por ejemplo, porque no tienen acceso al código fuente para el análisis. Por la misma razón, Wordfence también falla en la detección de malware en la base de datos, ya que requiere un mecanismo más allá de la coincidencia de firmas para descubrirlo.
Dicho esto, Wordfence detectó todo nuestro malware basado en archivos. Según nuestra estimación, es capaz de detectar entre el 70 y el 80 % del malware. También es propenso a falsos positivos y tiende a generar un montón de alertas. Llegaremos a eso en una sección separada también.
Limpieza de malware
Wordfence tiene una función de reparación automática para limpiar malware, pero la eficacia es discutible para malware más complejo. Tienen un servicio de eliminación de malware premium, pero puede abrir un agujero en el bolsillo a $ 490 por sitio. Sucuri, por otro lado, tiene un servicio de limpieza de malware manual ilimitado incluido en todos sus planes.
A pesar de que el escáner de Sucuri dijo que nuestro sitio no tenía malware, lo cual definitivamente tenía, solicitamos una limpieza, sin esperar mucho. Sin embargo, el sitio volvió a nosotros impecable. Lo pasamos por MalCare para comprobarlo. Por extraño que parezca, después de que el equipo de Sucuri limpiara nuestro sitio, el escáner detectó malware en él. Claramente, un error en alguna parte.
El servicio de eliminación de malware fue muy rápido. Aunque nuestro plan garantizó una respuesta en 30 horas, obtuvimos un sitio limpio en menos de 10. Eso es excelente. La única precaución que nos gustaría señalar es que, cuando tienes un sitio pirateado, el tiempo es esencial. No puede permitirse que el malware languidezca en su sitio web durante mucho tiempo. Solo para subrayar lo importante que es actuar rápido, la lista negra de Google también mide su tiempo de respuesta a las notificaciones de malware.
Para la eliminación de malware, debe solicitar una limpieza de Sucuri. Rellene un formulario con toda la información que pueda proporcionar y el equipo se hará cargo a partir de ahí. Recibimos un mensaje de respuesta de Sucuri con una lista de verificación posterior al hackeo con excelentes recomendaciones. Entonces, en general, la función de limpieza de malware con Sucuri es un aprobado.
Wordfence tiene 2 opciones para lidiar con archivos pirateados en el tablero: eliminar todos los archivos eliminables y reparar todos los archivos reparables. Esto es aparte de un CTA que sugiere que optemos por su servicio de limpieza experto.
Probamos ambas opciones, y ambas tuvieron bastante éxito en eliminar el malware de nuestro sitio web. El problema es que la eliminación automática está precedida por advertencias terribles de que el sitio se rompe debido a los cambios.
Nuestros sitios de prueba están respaldados en BlogVault y, francamente, no estábamos tan preocupados por su ruptura. Si bien pudimos avanzar sin pensar demasiado, es porque estábamos interesados en probar la función de reparación. Sin embargo, el caso sería muy diferente para, por ejemplo, la tienda de comercio electrónico de alguien o un sitio web de alto tráfico.
En nuestra serie de pruebas, generalmente nos detuvimos en este punto porque la mayoría de los otros complementos de seguridad fallaron. Wordfence limpió todo el malware basado en archivos de nuestro sitio web, por lo que probamos la función con el malware de la base de datos y algunos en nuestros complementos premium. El escáner no pudo detectar esta gran cantidad de malware y, por lo tanto, la reparación automática ni siquiera era una opción.
La otra alternativa era solicitar la eliminación de malware. El servicio pretende eliminar malware, puertas traseras y realizar una auditoría de seguridad del sitio web, evaluando vulnerabilidades. En caso de que su sitio haya aterrizado en una lista negra, Wordfence también ayudará a deshacerse de eso. El servicio está garantizado por un año, dependiendo de si el administrador del sitio ha seguido al pie de la letra las recomendaciones posteriores al hackeo. Tenga en cuenta: no podemos hablar de la eficacia del servicio de eliminación de malware de Wordfence, ya que no lo probamos.
Por otro lado, usamos MalCare para eliminar todo el malware automáticamente y pudimos hacerlo sin ningún problema. Sin advertencias nefastas, sin malware perdido, y nuestro sitio estuvo impecablemente limpio en minutos. Ese es el tipo de limpieza de malware que queremos para nuestro sitio web.
cortafuegos
Tanto Sucuri como Wordfence tienen excelentes firewalls que bloquean las amenazas más comunes e importantes. Pero instalar el cortafuegos de Sucuri fue una pesadilla, y preocupantemente, el cortafuegos gratuito de Wordfence se actualiza más tarde que su versión premium.
El firewall de Sucuri impidió ataques como inyecciones de SQL, inyecciones remotas y ataques de secuencias de comandos entre sitios. Nuestro sitio web de prueba tenía un montón de vulnerabilidades, como cargas de archivos no seguras, por ejemplo, y permaneció a salvo detrás del firewall.
Nuestro problema con el firewall de Sucuri fue su instalación. Para usar el firewall, debe dirigir su tráfico a sus servidores de nombres, de modo que el tráfico malo se filtre y solo se envíe el tráfico bueno a su sitio web. Excelente idea, pero que pesadilla de configurar. Nuestros sitios web de prueba no estaban vinculados a ningún registrador de dominios, por lo que tuvimos que reclutar al equipo de ingeniería para resolver esto.
El cortafuegos de Wordfence también funciona de forma inmediata y evita los ataques con éxito.
Inmediatamente después de la instalación, el cortafuegos entró en modo de aprendizaje. Wordfence recomendó que dejáramos el modo de aprendizaje activado durante una semana. Esto es justo, porque los firewalls necesitan tráfico en vivo para aprender a ser efectivos. Sin embargo, debido a que no tenemos tráfico en vivo a nuestros sitios web de prueba, vimos que no tenía mucho sentido esperar una semana y lo solucionamos de inmediato.
Con Wordfence, el firewall gratuito supuestamente solo tiene un 35% de efectividad. Esto no es una suposición de nuestra parte, sino que en realidad está en el tablero. Profundizamos un poco más para averiguar por qué ese podría ser el caso. Hay 2 razones:
Uno: el cortafuegos gratuito se carga como un complemento, una vez que WordPress ha terminado. El orden de carga afecta significativamente a la seguridad, porque si el cortafuegos se carga después del núcleo de WordPress, eso significa que puede evitar solo una parte del tráfico malicioso, no todo.
Dos: si bien Wordfence tiene el firewall más actualizado, la versión premium recibe esas actualizaciones en tiempo real. Sin embargo, la versión gratuita recibe actualizaciones después de un período de tiempo no especificado. No tenemos forma de saber cuál es el retraso, pero es potencialmente problemático. Después de todo, los piratas informáticos pueden atacar la ventana.
El mayor obsequio es que Wordfence mismo clasifica su firewall gratuito con un 35% de efectividad en comparación con su versión premium. No es bueno.
Detección de vulnerabilidades
Wordfence hizo un excelente trabajo al detectar todas las vulnerabilidades en nuestro sitio web. Sucuri se perdió los oscuros por completo.
Nos impresionó ver que Wordfence nos alertó sobre todos los complementos desactualizados como amenazas medianas. Las vulnerabilidades se marcaron correctamente como amenazas críticas. Otros complementos de seguridad tropezaron con los complementos y temas más oscuros, sin alertarnos en absoluto sobre sus graves vulnerabilidades, como las secuencias de comandos entre sitios en un caso. Así que Wordfence salió triunfante aquí.
No es posible corregir las vulnerabilidades directamente desde el panel de control de Wordfence, pero eso tiene sentido. La reparación de vulnerabilidades esencialmente significa actualizar el complemento o el tema, y esa funcionalidad ya está disponible fácilmente en wp-admin. A menos que Wordfence tuviera una regresión visual como MalCare para asegurarse de que la actualización no rompiera el sitio, no tiene sentido replicar una función existente.
Wordfence también arrojó errores para iThemes y Backupbuddy. Esto es indicativo de su tendencia a marcar falsos positivos en el sitio web.
Sucuri detectó todas las vulnerabilidades menos las más oscuras en nuestros sitios web de prueba. Sin embargo, puede actualizar su software obsoleto desde el panel de control de Sucuri, a diferencia de Wordfence. Realmente no vemos la utilidad, ya que las actualizaciones son fácilmente posibles a través de wp-admin.
La pestaña posterior al pirateo enumera las versiones de los complementos y temas instalados, junto con sus últimas versiones. Sucuri advierte que no se debe continuar con software desactualizado porque pueden provocar infecciones de malware.
Curiosamente, incluso el servicio de eliminación de malware de Sucuri solo pudo detectar algunas de las vulnerabilidades en nuestro sitio web. Dada nuestra experiencia con el escáner, pensamos que el servicio de eliminación haría un mejor trabajo al detectar vulnerabilidades. Ese no parece ser el caso.
Protección de inicio de sesión de fuerza bruta
Wordfence hace un excelente trabajo al bloquear todos los ataques de fuerza bruta. La función de protección de inicio de sesión de Sucuri no parece funcionar.
La protección de fuerza bruta está habilitada de forma predeterminada en Wordfence. Funciona perfectamente cada vez, bloqueando a los usuarios con demasiados intentos incorrectos, según la configuración que establecimos en el tablero.
Encontrará la configuración en la sección de firewall. Hay muchas cosas para personalizar en el menú de opciones: configurar bloqueos para intentos de inicio de sesión incorrectos; cuánto tiempo experimentará el bloqueo un usuario; y así. Las opciones no son abrumadoras y Wordfence explica cada una de manera convincente y con excelente documentación.
Aquí también puede establecer opciones de administración de contraseñas, asegurándose de aplicar contraseñas seguras y evitando el uso de contraseñas descubiertas en una violación de datos.
Es posible incluir direcciones IP en la lista blanca en esta sección, pero somos ambivalentes acerca de su efectividad. Las direcciones IP de los dispositivos son dinámicas, por lo que tener una lista de permitidos no garantiza que no se bloquee a un usuario legítimo.
La protección de fuerza bruta de Sucuri no funcionó como se esperaba. No experimentamos un bloqueo, ni hubo un captcha para asegurarnos de que éramos humanos y no bots. No recibimos alertas, a pesar de que los ataques aparecieron en los registros de auditoría. En general, la característica fue un fracaso.
Sin embargo, no pensarías eso para ver las opciones de configuración en el tablero. Había tantas opciones, estábamos tambaleándonos después de un punto. En general, preferimos menos opciones con una función que funcione, en lugar de lo contrario.
Registro de actividades
Sucuri tiene un registro de auditoría, pero puede ser difícil de comprender. Wordfence no tiene un registro de actividad.
Sucuri tiene un registro de auditoría que rastrea todas las acciones del usuario y los cambios de complementos y temas. Los registros mostrarán todos los cambios realizados en archivos y tablas, lo cual es bueno.
Los registros tienen información necesaria como usuario, acción, marca de tiempo, etc. Pero en algunos casos, las entradas son muy difíciles de entender. Por ejemplo, para probar los registros, instalamos un complemento de galería. Las entradas resultantes en el registro de auditoría muestran 7 cambios diferentes. No estaba claro en las entradas cuál era el cambio, por qué ocurría o quién era el responsable. Por lo tanto, el registro de auditoría es casi inútil para cualquiera que no hable Sucuri.
Nos sorprendió ver que Wordfence no tiene un registro de actividad, considerando que es uno de los pilares de la seguridad del sitio web. Hay una opción para habilitar la depuración en la sección Diagnóstico del menú Herramientas, lo que hace que los registros del firewall se vuelvan más detallados, pero eso no es lo mismo que un registro de actividad.
Después de mucho investigar, descubrimos un registro de actividad específico para los eventos de Wordfence en la sección Escanear. Sin embargo, es un registro sin procesar, claramente destinado solo a los desarrolladores de Wordfence.
Autenticación de dos factores
Wordfence tiene una excelente función de autenticación de dos factores. Sucuri no lo admite en su sitio web.
La autenticación de dos factores de Wordfence funciona de forma inmediata, con un sencillo conjunto de opciones para personalizar la experiencia. Solía ser una función premium, pero desde entonces también se ha agregado al complemento gratuito.
Sucuri no admite la autenticación de dos factores para su sitio web, pero puede proteger su cuenta de Sucuri con ella.
Uso de recursos del servidor
Tanto Sucuri como Wordfence consumen muchos recursos. Vimos irregularidades inconfundibles en el uso del disco con escaneos y debido al firewall.
Este es un factor en el que no hay nada que elegir entre Wordfence y Sucuri: a ambos les fue igual de mal.
Cada acción que realizan estos complementos en su sitio web consume recursos del servidor. Nuestros sitios web son relativamente pequeños y vimos que el uso del disco se duplicaba y, a veces, se triplicaba cuando configuramos los escaneos. Esto afectó el tiempo de carga, el tiempo de respuesta y la experiencia general en el sitio web.
Si tiene un sitio web de WooCommerce, o uno con mucho tráfico, este efecto será notable para sus usuarios. Si está en un alojamiento compartido, su servidor web levantará banderas y sus gastos de alojamiento pueden aumentar potencialmente. De hecho, muchos servidores web han prohibido Wordfence por este mismo motivo.
Si bien la gente rara vez habla de los recursos del servidor cuando habla de seguridad, es un factor importante. Nadie debería tener que comprometer ni el rendimiento ni la seguridad. Es completamente posible optimizar ambos.
Sin embargo, no con Sucuri o Wordfence. Para eso, necesitará MalCare.
Alertas
Tanto Sucuri como Wordfence son conocidos por innumerables alertas y falsos positivos.
Creemos firmemente en quitarles la carga a nuestros clientes cuando se trata de la administración de WordPress. Los cortafuegos deben bloquear el tráfico en silencio. La protección contra bots debería funcionar de inmediato. El administrador solo debe ser alertado si hay algo que necesita su atención y acción. La seguridad de WordPress debe ser fácil y sin estrés, de lo contrario, ¿cuál es el punto de un complemento de seguridad?
Aparentemente ni Sucuri ni Wordfence se suscriben a esta escuela de pensamiento, porque sus alertas son abrumadoras. Nuestras bandejas de entrada se inundaron en muy poco tiempo. Demasiadas alertas son tan malas como no tenerlas porque, en última instancia, ambas conducen a la inacción cuando es necesario.
Instalación, configuración y usabilidad
Wordfence está diseñado para ser muy sencillo para un usuario novato. Sucuri no lo es.
La instalación, configuración y uso general de Wordfence es uno de los mejores que hemos visto. Hay tutoriales en cada sección principal, que explican las configuraciones y características más importantes en un lenguaje simple y no amenazante.
Wordfence tiene excelentes recomendaciones para la configuración. Se puede acceder a su documentación desde la información sobre herramientas en el tablero, lo que la hace altamente contextual. Cada característica se explica claramente, y las instrucciones sobre cómo hacer que funcione en su sitio web son accesibles al instante.
Estas pueden parecer cosas extrañas para señalar. Sin embargo, si alguna vez probó Sucuri, se dará cuenta de que la facilidad de comprensión no es una parte trivial de la experiencia de cualquier usuario. De hecho, si tuviéramos que describir Sucuri en una palabra, esa palabra sería desconcertante.
Instalar Sucuri fue fácil y fue cuesta abajo desde allí. Para usar el escáner y el firewall del lado del servidor, debe configurarlos manualmente. Hay tantas opciones que pasamos horas tratando de darles sentido, además de averiguar si tenían algún impacto real en la seguridad.
En general, estos dos complementos se encuentran en extremos opuestos del espectro.
Wordfence: Extras
Wordfence es estrictamente seguridad. No hay una sola característica, opción o línea que sea siquiera adyacente a la seguridad, como actualizaciones u opciones de administración de usuarios. A pesar de eso, hay varios extras.
Había una sección de notificaciones para las actualizaciones del sitio, que nos mostraba qué complementos y temas debían actualizarse con prioridad porque eran amenazas críticas o medianas.
Wordfence tiene un tablero externo para administrar múltiples sitios en la misma cuenta llamado Wordfence Central. También tiene una sección adjunta en el wp-admin de cada sitio conectado, presumiblemente para que tenga una vista panorámica de cada sitio, independientemente del sitio en el que esté trabajando actualmente. En nuestra opinión, esto tiene una utilidad limitada y no funcionará para agencias con cientos de sitios administrados.
A continuación, miramos la sección Herramientas. Hay una sección para el tráfico en vivo, que parecía replicar Google Analytics, pero era más que eso. Estos registros clasifican el tráfico con una clave para ver qué tipo de tráfico está recibiendo el sitio web: humano, bot, advertencia, bloqueado.
Hay una opción de búsqueda de Whois, en caso de que quieras ver quién es el atacante sin salir de wp-admin. Nuevamente, esta es una característica incidental en el mejor de los casos.
Pensamos que Diagnostics era realmente interesante, ya que tenía mucha información sobre el sitio web. Allí todo es muy granular, desde los propietarios de los procesos hasta las tablas de la base de datos. Los desarrolladores encontrarán esta información muy útil, porque es como una especificación del sitio web en un solo lugar.
Sucurí: Extras
Sucuri tiene un montón de adornos y adornos adicionales en su plugin. Si alguno tiene un impacto en la seguridad es otra cuestión completamente diferente.
Lo primero que verá en la instalación es el cuadro de información de integridad de WordPress. Realmente es una versión elegante de un monitor de cambio de archivo central de WordPress. Obviamente, es algo útil tener un monitor de cambio de archivos para los archivos principales de WordPress, pero la eficacia no es tanta como se cree. Los piratas informáticos pueden cambiar y cambiarán los metadatos de los archivos, como las marcas de tiempo de actualización, para sortear estas medidas. Así que sí útil, pero no tanto.
Hay una utilidad de diferencia de integridad para comparar archivos principales en el sitio web con la instalación original de WordPress. Sin duda, es más fácil que usar uno en línea, si está limpiando el malware manualmente, lo cual no recomendamos en absoluto.
Sucuri tiene muchas funciones de refuerzo de WordPress. El bloqueo de PHP en la carpeta de cargas protege contra una categoría de hacks, y nos gusta la capacidad de cambiar las salts de WordPress rápidamente desde el tablero. Aunque se podría haber hecho mejor. Si la función estuviera en el tablero externo de Sucuri en lugar de en wp-admin, habría sido más seguro. Imagine que un pirata informático obtiene acceso a wp-admin, las sales se verían fácilmente comprometidas ya que están en texto sin formato.
Algunas de las otras opciones son de utilidad limitada, como verificar la versión de WordPress, eliminar la versión de WordPress, evitar la fuga de información y verificar la cuenta de administrador predeterminada. No tienen sentido desde una perspectiva de seguridad.
Otras características de endurecimiento eran confusas. Por ejemplo, si tuviéramos que deshabilitar el complemento y el editor de temas, ¿cómo podríamos actualizar los complementos y temas con vulnerabilidades? Contraproducente por decir lo menos.
The password management feature held some promise, but the warning would terrify all but the most brave: “Select users from the list in order to change their passwords, terminate their sessions and email them a password reset link. Please be aware that the plugin will change the passwords before sending the emails, meaning that if your web server is unable to send emails, your users will be locked out of the site.”
What's missing from Wordfence and Sucuri
Sucuri doesn't have a good malware scanner. The brute force login protection doesn't work, and it takes up too much of server resources. There is no bot protection either, and you would need a separate plugin for two-factor authentication.
Wordfence misses out on bot protection and an activity log. The scanner is above average; definitely a cut above the other security plugins available apart from MalCare. Apart from these things, it is an exceptional security plugin.
Wordfence vs Sucuri: Pricing
Sucuri's plans start at $199.99 a year per site, which is a great deal for unlimited malware removal. The firewall works well, but the scanner is a let down. Wordfence premium plans are at $99 for the year per site, with attractive bulk pricing options. However, our opinion is that the free version is almost as good as the premium version.
Sucuri is a winner when it comes to the unlimited malware removal feature. The support team was great, with a quick turnaround time, helpful response and a proactive post-hack checklist. But the malware scanner was a complete failure, and that's not a small flaw to overlook.
The free version of Wordfence is strong enough to stand on its own. The premium version is not all that different, the efficiency percentages on the dashboard notwithstanding. The real expense to consider with Wordfence is the cleaning service at $490 a pop, over and above the site license. If you are considering Wordfence seriously, read the fine print. Although they say unlimited pages, there are additional charges for sites above 10 GB. They guarantee the service for a year, but there are terms and conditions. None of this is unreasonable, but it is important to be aware before taking the plunge.
Better alternative to Wordfence and Sucuri: MalCare
The best security plugin for your website isn't Wordfence or Sucuri, it is MalCare. It has an excellent scanner that detects malware in all parts of your website: core WordPress, files and the database. Additionally, the auto-clean feature removes all malware surgically, without breaking your website.
MalCare has an advanced firewall that proactively blocks bad traffic from reaching your website. The brute force protection makes sure that your login page is safe from malicious attacks, and the bot protection goes even further to make sure only bad bots are kept away from your website.
There is a formidable support team of WordPress security experts to help with any issues that come up. Any malware removal cleanups necessary beyond the auto-clean are covered with the site license.
Thus, in a feature-to-feature comparison, MalCare undoubtedly comes out on top. MalCare's $99 plan is vastly better than Sucuri's $199.99 Basic Platform plan, and includes unlimited malware removal, which is over and above Wordfence's $99 plan.
Conclusión
When choosing a WordPress security plugin for your website, make sure to evaluate the scanner, cleaner and firewall. All the other features can be implemented with other plugins, but these 3 features form the essence of a good plugin.
At MalCare, our goal is to make security stress-free and painless, so that you can focus on the more important aspects of your website. Leave the security to us, as you grow your business.
We hope this comparison was helpful, as we have presented all our findings transparently. ¿Tiene más preguntas? Drop us a line. Nos encantaría saber de usted.