Los plugins de seguridad en WordPress son probablemente uno de los complementos más instalados, hay todo un sinfín de alternativas y los más reconocidos como All In One WP Security & Firewall o iThemes Security están en activos y funcionando en millones de instalaciones.
Nosotros mismos hemos sido fieles defensores de estos plugins, recomendando durante muchos años su instalación como parte del compendio de medidas de seguridad a seguir, pero la realidad es que a día de hoy no los vemos necesarios, e incluso bajo nuestro punto de vista, son contraproducentes, no queremos decir que no tengan su utilidad, lo que decimos, es que no tienen utilidad en nuestros servicios de hosting.
Todas las funciones que ofrecen estos plugins, están implementadas de forma nativa en nuestros sistemas por medio de herramientas más avanzadas y eficientes, los ataques de fuerza bruta son controlados por parte del sistema de seguridad, los ataques DDOS por medio del firewall vía hardware, los ficheros y procesos son analizados en tiempos real con herramientas como Proactive defense, las IPs se filtran usando una lista negra fruto del feedback de miles de sistemas, dispones de copias de seguridad diarias automáticas, se usa un sistema inteligente de verificación por captcha para diferenciar a los bots o accesos sospechosos, Imunify360 analiza todos los contenidos por medio de su potente antivirus, y se bloquean todo tipo de ataques usando miles reglas de seguridad en el servidor web en continua actualización.
Estas son algunas de las funciones de seguridad más relevantes, aunque la lista sigue.
Las funciones que claman muchas de las suites de seguridad de WordPress no son eficientes, PHP es un gran lenguaje y nosotros los primeros defensores, pero un antivirus o sistema de filtrado de peticiones no será igual de eficiente implementado de forma nativa en el sistema operativo que en la propia aplicación por medio de PHP, por no hablar de que las propias capacidades de estos plugins están muy limitadas.
Esto significa que con estos plugins de seguridad estarás pagando un precio a nivel rendimiento y velocidad, unido a un mayor uso de recursos por parte de la web o app.
Por supuesto que dentro de todas sus funciones hay algunas interesantes, como el añadir un captcha a los formularios, o activar la verificación de dos factores, pero lo adecuado no es instalar un plugin que sobrecargará WordPress con funciones que no necesitamos, sino usar plugins que de forma específica hagan solo lo que queremos, a menores funciones, menor complejidad y, por lo tanto, menos afectará al funcionamiento de WordPress.
Para finalizar, no es nuestro objetivo demonizar estos plugins, cumplen una gran labor y sin duda tienen su público, pero tal como decimos al inicio, en nuestros servicios de hosting no aportarían ningún valor.