¿Alguna vez han pirateado su sitio web? Esperamos que no. Puede ser una experiencia aterradora y costosa, incluso si los daños son relativamente menores.
Por desgracia, el riesgo de ser pirateado es omnipresente. Hay millones de virus, exploits y otros códigos maliciosos online que pretenden apoderarse de tu sitio WordPress.
Pero, ¡hay buenas noticias! Puede evitar la mayoría de los problemas y mantener su sitio seguro. ¿Cómo? Realizando con frecuencia un análisis de seguridad.
Aunque no resolverán todos los problemas, son una forma sencilla de detectar rápidamente cualquier problema potencial en su sitio web.
En este post, le mostraremos cómo ejecutar un análisis de seguridad en su sitio web utilizando Wordfence, uno de los plugins de seguridad populares disponibles para WordPress.
También cubriremos otros 14 escáneres y plugins que tienen características similares.
¡A escanear!
¿Por qué utilizar un escáner?
Aunque no queremos asustarle demasiado, es importante ser consciente de lo peligrosa que puede llegar a ser la Red.
He aquí algunas estadísticas comunes que deberían ayudarle a comprender la importancia de ejecutar escáneres:
- Más de 30.000 sitios web son pirateados cada día
- Por término medio, transcurren casi 300 días hasta que se detecta una infracción.
- La ciberdelincuencia se ha disparado durante la pandemia de coronavirus
- 73% de las agencias digitales y autónomos están preocupados por la seguridad
Veamos ahora otras razones por las que debería utilizar un escáner de seguridad.
Resultados de la búsqueda
Si su sitio es pirateado, Google y otros motores de búsqueda suelen sancionarle y bajan su posición en los resultados de búsqueda. En algunos casos, pueden eliminarlo por completo de las búsquedas hasta que arregle su sitio.
Como puedes imaginar, si confías en el SEO para conseguir tráfico, ¡esto puede ser un desastre!
Chrome, Firefox y otros navegadores
Probablemente ya haya visto la imagen de arriba. Al igual que los resultados de búsqueda, los propios navegadores suelen impedir que los usuarios visiten un sitio pirateado. Como puedes imaginar, esto acabará con casi todo tu tráfico, ¡así que evitar que tu sitio sea hackeado es realmente importante!
Encontrar código malicioso
Los escáneres también encontrarán cualquier enlace o código malicioso en su sitio. Por lo general, estos llegan a su sitio de WordPress a través de plugins o temas de terceros que no han sido bien investigados.
Otro tipo de tema problemático es un "tema anulado", que son temas pirateados que se descargan de fuentes no oficiales. Aunque temas anulados son una alternativa a la versión original de pago, a menudo están llenos de anuncios u otros programas maliciosos. Los escáneres suelen determinar si estás ejecutando un tema anulado.
Encontrar redireccionamientos sospechosos
Del mismo modo, cualquier redirección o enlace extraño puede ser un indicio de que algo va mal. Una redirección sospechosa suele terminar en un sitio de spam o (peor aún) en un sitio de phishing que intenta robar la información de tus usuarios.
Dado que los sitios de phishing suelen hacerse pasar por sitios reales, las sutiles diferencias suelen ser difíciles de detectar con la vista.
Por ejemplo, si su sitio es NewYorkCityShoes.com, un phisher podría utilizar NewYorkCtyShoes.com. ¿Ve la diferencia? Si no presta atención, puede que no se dé cuenta. Pero un escáner puede detectar estos enlaces sutilmente diferentes.
Escáneres en línea frente a escáneres directos
Existen dos tipos básicos de escáneres: los escáneres en línea y los escáneres "directos".
Los escáneres en línea no son más que sitios web que realizan una búsqueda rudimentaria en un sitio web de acceso público. Se teclea un nombre de dominio, se pulsa Vaya ay obtener algunos resultados. Como puede imaginar, a veces son limitados.
Los escáneres directos son los que se cargan directamente en el sitio web, normalmente a través de un plugin. Suelen ser más caros y requieren más tiempo, pero dan mejores resultados.
Limitaciones de los escáneres
Aunque los escáneres son sin duda útiles, no debe pensar que son una solución de seguridad completa para mantener su sitio seguro. Todos tienen algunas limitaciones.
Veamos algunas de ellas:
- Cuentas de usuario. Los escáneres sólo en línea no tienen acceso a sus cuentas de usuario u otra información privada. Como tales, no pueden leer esos datos.
- Plugins y temas. Del mismo modo, los escáneres sólo en línea sólo pueden leer qué plugins tiene instalados y ver si están actualizados. No pueden ver dentro del propio código.
- Algunas opciones sólo están disponibles para usuarios de pago. Dependiendo del plugin, muchas funciones de escaneado sólo estarán disponibles para los usuarios de pago. Esto suele incluir la eliminación de cualquier resultado negativo.
Uso de Wordfence para escanear su sitio web WordPress
Wordfence es el plugin de seguridad más popular para WordPress. Wordfence es un escáner "directo" que se instala directamente en el sitio, lo que significa que no tiene las limitaciones de algunos escáneres en línea.
Desde el propio complemento, puede ejecutar un análisis de su sitio web. Este análisis busca código peligroso, puertas traseras, URL maliciosas y otros problemas reconocibles.
A continuación, los resultados se clasifican en cuatro niveles de seguridad: crítico, alto, medio y bajo.
Ventajas de Wordfence:
- Detecta código dañino y malicioso con un solo clic
- Ofrece generosas prestaciones en la versión gratuita
- Fácil personalización de la configuración de seguridad
- Alertas de vulnerabilidades por correo electrónico en tiempo real
- Informes inmediatos sobre actividades sospechosas en el sitio web
Contras de Wordfence:
- Sin inconvenientes evidentes
Precios
Wordfence es un plugin gratuito disponible en el repositorio de WordPress. También ofrece una versión premium a partir de $99 al año.
Recorramos el proceso de escaneo de su sitio WordPress con Wordfence.
Paso 1: Descargar, instalar y activar el plugin
Existen versiones gratuitas y premium de Wordfence. Usted puede descargue la versión gratuita en el repositorio de WordPress, o pagar por uno de sus planes premium. Para este tutorial, nos quedaremos con la versión gratuita.
Paso 2: Vaya a Wordfence > Escanear
Una vez que haya activado el plugin, vaya a la barra lateral de WordPress. Haz clic en la pestaña Escanear debajo de Wordfence.
Paso 3: Haga clic en Gestionar exploración
Ahora estás en la página Escanear. Aquí hay muchas opciones, la mayoría de las cuales sólo están disponibles para los usuarios Premium.
Por ahora, haga clic en el botón Gestionar la exploración en la parte superior izquierda del panel.
Paso 4: Elija el tipo de escaneado
Aquí puede elegir el tipo de análisis que desea realizar. Hay cuatro tipos de análisis:
- Escaneo limitado: para sitios básicos que no disponen de muchos recursos.
- Escaneado estándar: La opción estándar. Recomendada para la mayoría de los sitios.
- Exploración de alta sensibilidad: Si cree que puede haber sido pirateado, utilice este tipo de escaneado.
- Escaneo personalizado: Esto se activará por defecto si personalizas algo en las pestañas de abajo.
También puede personalizar otras partes de la exploración haciendo clic en el botón Opciones generales, Opciones de rendimiento, y Opciones avanzadas de exploración pestañas de abajo.
Por ahora, nos limitaremos a Escaneado estándar. Haga clic en Guardar cambios y volver a la página anterior.
Paso 5: Ejecutar la exploración
Ahora es el momento de ejecutar el escaneo. Pulse Iniciar nueva exploración. Puedes ver los resultados a medida que llegan en la parte inferior.
Paso 6: Revisar los resultados y tomar medidas
Una vez finalizado el análisis, verás todos los resultados en la parte inferior de la página. Wordfence cubrirá muchas cosas diferentes, incluyendo plugins que necesitan actualizarse o temas que están inactivos pero son inseguros.
Si pulsa el botón Detalles de la derecha, podrá ver más información sobre cada artículo.
Si el análisis ha detectado algún archivo problemático, puede eliminarlo haciendo clic en Borrar todos los archivos eliminables.
¡Hemos terminado! Buen trabajo, su sitio ahora está limpio.
Los mejores escáneres de malware para WordPress
¿No puede (o no quiere) utilizar Wordfence? No hay problema. Echemos un vistazo a otros 14 escáneres de seguridad para WordPress.
1. Sucuri Site Check
Junto con Wordfence, Sucuri es uno de los plugins de seguridad más populares disponibles para WordPress. Sus plugins tienen una tonelada de capacidades de escaneo, incluyendo monitoreo de listas negras, monitoreo de integridad de archivos, detección y eliminación de malware, notificaciones de seguridad y muchas otras características.
También tienen una herramienta gratuita para escanear sitios. Aunque está diseñada principalmente para escanear otros sitios web, sigue siendo útil. Pruébalo.
Sucuri tiene tanto un plugin gratuito como una variedad de planes de pago, que empiezan en $199 al año.
Ventajas de Sucuri:
- Ayuda al SEO del sitio web además de protegerlo de ataques
- Empresa conocida y con buena reputación
- Fácil de usar y configurar
- Cuadro de mandos e interfaz sencillos
- Proporciona ayuda si su sitio web ha sido pirateado
Contras de Sucuri
- Un poco caro
Precios
Sucuri es un plugin premium disponible por $199,99 al año.
2. Objetivo hacker
Hacker Target es un sitio web que comprueba la seguridad de tu sitio WordPress. Introduces un dominio y unos minutos después obtienes los resultados. Estos incluyen si estás en una lista negra o de spam, lo que Google Safe Browsing piensa de tu sitio, qué plugins tienes instalados, de qué recursos Javascript dependes y qué cuentas de usuario existen en tu sitio.
El escaneado básico es gratuito, pero también puedes pagar mensualmente para acceder a funciones adicionales.
En comparación con muchos otros escáneres en línea, Hacker Target es muy fácil de usar y proporciona una gran cantidad de datos. Además, se ejecuta bastante rápido y te ofrece resultados en cuestión de segundos.
Pros de Hacker Target:
- Simula sucesos de seguridad del mundo real
- Identifica el problema y aborda el riesgo
- Servidores rápidos y optimizados para el rendimiento
- Identifica la superficie de ataque con herramientas de exploración
- Pruebe hasta 20 sitios a la vez
Contras de Hacker Target:
- Realiza una exploración básica en la versión gratuita
Precios
Hacker Target ofrece versiones gratuitas y de pago a partir de $10 al mes
3. Detectify
Detectify es un servicio de pago diseñado para sitios con un presupuesto mayor. El plan más barato cuesta a partir de $80 al mes, pero incluye un escaneado remoto completo de su sitio web y las aplicaciones relacionadas. Su sitio se comprueba frente a más de 2.000 vulnerabilidades, que se actualizan semanalmente.
Si bien no hay una opción gratuita, se obtiene una prueba gratuita de dos semanas. ¡Esto puede ser suficiente para escanear su sitio y eliminar cualquier error crítico!
Ventajas de Detectify:
- Detección y supervisión continuas de todos los activos de Internet
- Configuración sencilla para empezar
- Proporciona una visión completa de la superficie de ataque
- Exploración de aplicaciones para obtener información más detallada
- Opción de escanear aplicaciones mediante filtros de página inteligentes
Contras de Detectify:
- No tiene opción libre
Precios
Detectify ofrece escaneado de aplicaciones por $89 al mes.
4. Ninja de seguridad
Security Ninja es un plugin descargable que usted instala en su sitio. Ejecuta más de 50 pruebas de seguridad, que incluyen:
- Comprobación de la seguridad de las contraseñas mediante un ataque de fuerza bruta a cuentas de usuario
- Pruebas de permisos de archivos
- Si está actualizado a la versión actual de WordPress
- Si sus plugins están actualizados
- Si el archivo wp-config.php tiene los permisos correctos establecidos
- La fuerza de la contraseña de la base de datos
La lista completa está disponible en la página de descargas del plugin. También puedes comprar un plan premium, que te da acceso a funciones adicionales como un cortafuegos, bloqueo de países, corrector automático y mucho más. En general, Security Ninja es un fantástico plugin gratuito que lo comprueba casi todo.
Pros de Security Ninja:
- Protección completa del sitio web de WordPress con un cortafuegos
- Extremadamente fácil de usar
- Descubrir vulnerabilidades y problemas de seguridad en sitios infantiles
- Tiene muchas opciones de endurecimiento y comprobación de permisos
- Ofrece listas de comprobación y consejos para asegurar los sitios web
Contras de Security Ninja:
- Requiere la versión Premium para detectar con precisión la ubicación del malware
Precios
El plugin está disponible de forma gratuita en el repositorio de WordPress. También tiene una versión de pago a partir de $39.99.
5. Quttera
Quttera es un plugin de WordPress que puedes descargar e instalar en tu sitio web. Analiza un montón de vulnerabilidades potenciales diferentes, incluyendo malware, troyanos, puertas traseras, gusanos, virus y otros exploits.
Dado que es un plugin que se instala directamente en su propio sitio web, también ofrece dos ventajas adicionales: Uno, es capaz de hacer una búsqueda más profunda en su sitio, lo que significa que es más probable encontrar cualquier problema. Dos, una vez identificados los problemas, Quttera puede ayudarle a eliminarlos.
La versión plugin de Quttera es completamente gratuita, pero también puedes pagar por uno de sus planes premium para obtener funciones adicionales.
Ventajas de Quttera:
- Proporciona un informe detallado que ayuda a reconocer e investigar los riesgos
- Descubre iframes ocultos y otros elementos sospechosos
- Detecta redireccionamientos desde páginas de su sitio web
- Fácil de usar
- Ofrece excelentes prestaciones en el plan gratuito
Contras de Quttera:
- A veces tarda en cargar los resultados
Precios
Quttera es un plugin gratuito con un plan premium disponible desde $10 al mes.
6. GeekFlare
GeekFlare es una herramienta en línea completamente gratuita para escanear tu sitio de forma remota. Te informa sobre los plugins que tienes instalados, si tu página de inicio de sesión de administrador está expuesta, si tu sitio es vulnerable a ataques, si tu tema está ejecutando la versión más actualizada y si estás utilizando HTTPS.
En definitiva, es una buena herramienta para comprobar rápidamente una serie de parámetros de seguridad diferentes.
Ventajas de GeekFlare:
- Comprobaciones de seguridad de temas y plugins de WordPress
- Determina el rendimiento del sitio en función de más de 40 parámetros.
- Comprueba los enlaces rotos internos y externos
- Averigua rápidamente el proveedor de alojamiento del sitio
- Comprueba el tiempo de respuesta del servidor del sitio web
Contras de GeekFlare:
- No hay inconvenientes que mencionar
Precios
GeekFlare es una herramienta completamente gratuita.
7. WPSec
Como su nombre indica, WPSec es un escáner en línea diseñado para buscar problemas de seguridad en los sitios de WordPress. Su uso es gratuito y te dará algunos resultados básicos. Sin embargo, si quieres ver un informe más detallado, tendrás que suscribirte a su boletín electrónico.
Ventajas de WPSec:
- Utiliza tecnología de escaneado en profundidad para comprobar las vulnerabilidades de WordPress
- Cuadro de mandos todo en uno fácil de usar
- Opción de automatizar el escaneado
- Notificación push para las actualizaciones
- No requiere instalación
Contras de WPSec:
- La prima es cara
Precios
WPSec tiene una versión gratuita y otra de pago. La versión de pago cuesta a partir de 29 € al mes.
8. URLVoid
Esta herramienta en línea comprueba la reputación de su sitio web. Para ello, busca en 34 listas negras diferentes de spammers, phishers y otros actores maliciosos. También puedes probar una dirección IP directamente con su herramienta IPVoid. Su uso es totalmente gratuito.
Tenga en cuenta que sus datos de escaneado se enviarán a empresas de seguridad.
Ventajas de URLVoid:
- Escanea la web con 17 aplicaciones diferentes
- Busca exploits y malware
- Comprueba la reputación con servicios como Web Of Trust
- Ahorra tiempo a la hora de recopilar informes de un sitio web a otro
- Gran escáner profesional y fácil de usar
Contras de URLVoid:
- No tan automatizado como otras opciones
Precios
URLVoid es totalmente gratuito.
9. ScanURL
ScanURL es una herramienta en línea gratuita que permite comprobar si una URL contiene informes de phishing, malware y virus. Aunque está pensada para comprobar otros y no el suyo propio, no deja de ser útil para ver si su sitio tiene una mala reputación de la que usted no es consciente. Como se mencionó anteriormente, en promedio, se tarda casi 300 días hasta que una violación es detectada por el webmaster de un sitio. Sabiendo esto, no es mala idea probar ScanURL.
ScanURL es totalmente gratuito.
Ventajas de ScanURL:
- Comprueba los sitios web en busca de phishing, malware, virus y mala reputación.
- Comprobaciones con servicios de terceros acreditados
- Le informa de páginas web sospechosas o peligrosas
- Informes sobre el dominio proporcionado
- Proporciona informes precisos sobre la fiabilidad de las URL
Contras de ScanURL:
- Sin escáner de malware ni cortafuegos
Precios
ScanURL es una herramienta gratuita para escanear su sitio web.
10. VirusTotal
VirusTotal es una herramienta en línea dirigida a los profesionales de la seguridad. Permite analizar archivos o URL sospechosos en busca de malware y compartirlos automáticamente con la comunidad de seguridad. Escanea tu sitio contra más de una docena de bases de datos de malware y spam. El uso de VirusTotal es totalmente gratuito.
Tenga en cuenta que al enviar su sitio, los resultados del escaneo se enviarán a VirusTotal con fines de investigación.
Ventajas de VirusTotal:
- Interfaz fácil de usar
- Proporciona resultados de exploración de alta confianza utilizando un gran número de recursos.
- Ofrece análisis de archivos y URL
- La funcionalidad API es fácil de integrar con el sistema antiphishing
- Detección de malware
Contras de VirusTotal:
- El escaneo de archivos puede ser lento a veces
Precios
VirusTotal es de uso gratuito.
11. Herramientas Pentest
Pentest-Tools.com es un sitio web lleno de diferentes maneras de pentesting (abreviatura de pruebas de penetración) su sitio web. Todo se hace directamente en el sitio web. Las herramientas más avanzadas no son gratuitas, pero las básicas siguen siendo útiles.
La herramienta Vulnerabilidad del sitio web es de estas opciones básicas y gratuitas.
Aunque tendrá que pagar para utilizar la exploración completa, la exploración ligera también es útil. Detecta software de servidor obsoleto, cabeceras HTTP inseguras, configuraciones de cookies mal configuradas, un análisis del archivo robots.txt y mucho más.
Ventajas de Pentest-Tools:
- Amplia gama de herramientas para la exploración de vulnerabilidades internas y externas
- Funciones especializadas personalizadas
- Ahorra mucho tiempo y energía con los robots Pentest
- Notificaciones en tiempo real y activadores personalizados
- Evaluación de la superficie de ataque del objetivo
Contras de Pentest-Tools:
- La prima es cara
Precios
Pentest-Tools está disponible de forma gratuita con funciones limitadas. La versión premium cuesta $85 al mes.
12. Informe de transparencia de Google / Navegación segura de Google
La herramienta Google Safe Browsing es una forma sencilla de comprobar lo que Google piensa de tu sitio. Dado que Google es el motor de búsqueda dominante en todo el mundo, es importante saber si considera que su sitio no es seguro. La herramienta está en línea y es totalmente gratuita.
Dado que los datos se basan en su rastreador web, en lugar de recopilarse cuando ejecutas la herramienta, es posible que tu sitio no aparezca en la lista. En cualquier caso, se trata de una herramienta rápida y sencilla para comprobar hasta qué punto Google considera seguro tu sitio.
Ventajas del Informe de Transparencia de Google:
- Examina miles de millones de URL cada día
- Busca sitios web no seguros
- Muestra una advertencia en la búsqueda de Google y en los navegadores web
- Muestra si es peligroso visitar un sitio web
- Fácil de usar
Contras del Informe de Transparencia de Google:
- Lista negra de sitios web no seguros
Precios
El Informe de Transparencia de Google es de uso gratuito.
13. WPScan
WPScan es una herramienta CLI (interfaz de línea de comandos) que comprueba la seguridad de un sitio web WordPress. Utiliza una base de datos de más de 22.000 vulnerabilidades conocidas de WordPress y comprueba plugins, temas, nombres de usuario con contraseñas débiles, bases de datos de acceso público y otras vulnerabilidades comunes.
Aunque pueda parecer complicado, en realidad es bastante sencillo una vez que se comprenden los fundamentos.
Ventajas de WPScan:
- Exploración de vulnerabilidades con supervisión manual
- Amplia base de datos de vulnerabilidades
- Actualizado constantemente
- Interfaz de línea de comandos
- Gancho Slack para notificaciones y alertas
Contras de WPScan:
- Un poco complicado para principiantes
Precios
WPScan cuesta a partir de $20 al mes.
14. Norton Safe Web
Norton es una empresa que fabrica paquetes de software antivirus populares para WindowsLinux y Mac OSX. Además, en su sitio web también disponen de una sencilla herramienta para comprobar si un sitio web es seguro. Clasifica los sitios en cuatro categorías: OK, Issue, Not Safe, y Inaccesible. Su sitio debe ser analizado como OK.
Ventajas de Norton Safe Web:
- Alertas por correo electrónico sobre cambios de estado
- Verifique la propiedad de su dominio para aumentar la confianza
- Supervise y gestione el índice de confianza de su sitio web
- Herramientas de verificación de la edad
- Nombre de confianza con buena reputación
Desventajas de Norton Safe Web:
- Un poco caro para lo que
Precios
Norton Safe Web está disponible por $19,99 al mes.
Conclusión
Si no realizaba análisis de seguridad en su sitio web, ¡esperamos que lo haga ahora!
La importancia de seguridad de su sitio web no se puede exagerar. Tiene un impacto directo en sus lectores, su tráfico, su reputación y, si vende productos, sus ingresos.
Asegúrese de utilizar una de las herramientas anteriores de forma regular para asegurarse de que no tiene ningún malware o troyano oculto en su sitio. Si no está seguro de cuál es la mejor, opte por Wordfencees el plugin de análisis de seguridad para WordPress más popular del mundo.
¿Ha tenido alguna vez un problema de seguridad con su sitio web? ¿Qué hizo para resolverlo? ¿Y qué está haciendo ahora para prevenir futuros problemas?
Divulgación: Este blog puede contener enlaces de afiliados. Si realiza una compra a través de uno de estos enlaces, es posible que recibamos una pequeña comisión. Leer información. Tenga la seguridad de que sólo recomendamos productos que hemos utilizado personalmente y que creemos que aportarán valor a nuestros lectores. Gracias por su apoyo.
Estaba buscando los mejores escáneres de seguridad y encontré este excelente post. Muchas gracias por sus esfuerzos para poner todas las mejores herramientas en un solo lugar., Acabo de instalar versiones gratuitas de Wordfence en mi sitio web, y está funcionando muy bien.
Hola Mary,
Me alegra saber que te ha resultado tan útil el artículo 🙂 .
Hola equipo, muy buen artículo. Tengo un sitio web alojado en WordPress.com, ¿Hay algún plugin que escanea sitios web alojados en WordPress.com?
Hola Florence, esto debería funcionar también en un sitio web alojado en WP.com. Pero consulte con ellos una vez antes de darle una oportunidad.