En esta publicación compararé las funcionalidades de SecuPress y la protección que brinda un firewall personalizado de CloudFlare.
SecuPress es un plugin de seguridad que no es tan conocido, pero que a pesar de su poca popularidad, este tiene se encuentra instalado en más de 40 mil sitios de WordPress
Por otro lado, Cloudflare es una navaja suiza en términos de seguridad si esta en las manos correctas.
La ventaja de usar Cloudflare es que puedes personalizar reglas de cortafuego y medir su rendimiento.
Yo tengo años de mantener mis sitios seguros únicamente implementando medidas básicas de seguridad y la implementación de un cortafuegos que yo considero robusto.
Table of Contents
¿Qué Hace SecuPress?
SecuPress hace muchas cosas para mantener tu sitio de WordPress seguro y estas son las secciones más importante del plugin.
Ahora voy a analizar cada una de ellas y compararlas con lo que puedes hacer con un Firewall personalizado en CloudFlare
Escritorio (1)
Como es usual, en el escritorio no vas a encontrar nada interesante en términos de seguridad ya que las opciones son opciones únicamente para manejar el plugin.
Usuarios y Acceso (2)
En esta sección tienes la opción de:
| #1 | Cambiar la página de acceso |
| #2 | Limitar los intentos de acceso |
| #3 | Banear los intentos con nombres de usuarios inexistentes |
| #4 | Controlar las sesiones abiertas (Premium) |
| #5 | Esconder los errores de la página de acceso |
| #6 | Autenticación de dos factores (Premium) |
| #7 | Implementar Captcha en la pagina de acceso |
| #8 | Duración de vida de la contraseña (Premium) |
| #9 | Forzar Contraseñas fuertes (Premium) |
| #10 | Prohibir la creación de nuevos usuarios (Premium) |
| #11 | Prohibir nombres de usuario |
| #12 | Prohibir enumeración del usuario |
| #13 | Prohibir la modificación del rol de usuario por Default |
| #14 | Bloquear la configuración de membresía |
| #15 | Bloquear la modificación del correo del administrador |
Lo que me gusta de SecuPress es que no discrimina y te brinda todas las opciones disponibles para protección de los nombres de usuario del sitio y de las páginas de acceso.
Muchas de estas opciones pueden ser gran utilidad si tienes un e-commerce o un sitio de membresía o un sitio que permita el registro de nuevos usuarios.
Si no tienes ningún sitio de los anteriores, yo considero que todas estas opciones son innecesarias si cuentas con un cortafuego de CloudFlare.
Si eres el único administrador del sitio o si administras un pequeño equipo de colaboradores, puedes hacer lo siguiente con Cloudflare:
- Bloquear acceso completo a las paginas de acceso y solo permitir acceso a administradores y editores mediante el whitelisting de la dirección IP en el caso que todos cuenten con una IP estática
- Si no se cuenta con una IP estática, esto puede ser logrado mediante la creación de una regla de cortafuego que valide 4 criterios o más. Los criterios pueden ser fácilmente (país, agente de usuario, ASN, Versión de HTTP)
- Adicionalmente puedes agregar Cloudflare Turnstile en caso que algún atacante se logra de alguna manera de evadir el cortafuego de Cloudflare.
- Un sitio pequeño no requiere de mucha administración de los usuarios del sitio.
Algunas acciones que complementan la seguridad de tu páginas de acceso y usuarios que no tienen que ver con WordPress son las siguientes:
- Asignar roles de usuario de acuerdo con su nivel de responsabilidad.
- Crear los usuarios para los editores, soporte y otros colaboradores con direcciones que pertenezcan al administrador del sitio y no correos personales de los colaboradores. Hay servicios que permiten “catch-all” por lo que puedes usar correos que no tiene un casillero personalizado y que reenvían a una cuenta de correo principal.
- Generar contraseñas imposibles de recordar y que obliguen al uso de un gestor de contraseñas.
- Tener colaboradores que al menos sean usuarios competentes en términos de seguridad en linea. No se puede confiar en colaboradores que abren cualquier enlace sospechoso o que instalan cualquier software “crackeado” de internet.
Veredicto: Si eres el único administrador de tu sitio, SecuPress se podría categorizar como “Overkill” , si tienes un sitio que requiere dar acceso a colaboradores o clientes, me parece que SecuPress es una buena opción.
Temas y Plugins (3)
La tercera sección del plugin esta asociada con temas y plugins y da la impresión que esta relacionada con el prevenir la manipulación de temas y plugins por las cuentas de los colaboradores
Digo que esto va dirigido a las cuentas colaboradores, porque si un hacker se logra colar en la cuenta del administrador o tiene acceso remoto, o acceso completo a la base de datos o instalación, este puede manipular o desactivar el plugin.
Esta sección de SecuPress permite:
| #1 | Impedir subir archivos zip |
| #2 | Actualizar plugins |
| #3 | Instalar plugins |
| #4 | Borrar plugins |
| #5 | Desactivar plugins |
| #6 | Activar plugins |
| #7 | Detectar plugins con Vulnerabilidades |
| #8 | Instalar Temas |
| #9 | Cambiar de Tema |
| #10 | Desactivas Temas |
| #11 | Detectar temas con Vulnerabilidades |
Veredicto: Si eres el único usuario de tu sitio, está es una buena medida de seguridad que no necesitas. Si tu proveedor de hosting puede bloquear el acceso remoto, el acceso a la instalación y a la base de datos, y si todo está seguro en el front-end mediante reglas de cortafuego de Cloudflare, esto no es necesario.
WordPress Core (4)
La primera parte de las medidas tiene que ver con las actualizaciones de WordPress.
Si eres de quienes mantiene el sitio de WordPress actualizado de manera automática o de manera manual, no tienes nada que hacer con estas opciones
Esta sección tambien permite:
| #1 | Cambiar prefijo de la base de datos (Premium) |
| #2 | No mostrar errores |
| #3 | No mover la página de inicio |
| #4 | Remover el editor de temas y plugins |
| #5 | Filtrar lo que subes a WordPress |
| #6 | Deshabilitar la página para reparar la base de datos |
| #7 | Implementar llaves de seguridad |
| #8 | Cambiar la cookie de inicio de sesión |
#1 – El cambiar el prefijo de la base de datos puede ser realizado con varios plugins de seguridad y ser removidos luego ya que no es algo que debas hacer con regularidad.
#2 – Esta sección se puede implementar mediante la implementación de un código en el archivo wp-config.
#3 – Lo de mover la página de inicio me parece interesante, pero me parece que esto tiene relación con el tener colaboradores con permiso de administrador en el sitio. Si el hacker ya esta en el escritorio de administrador del sitio, ya puede hacer lo que le venga en gana.
#4 – Lo de remover la edición de temas y plugins desde el escritorio es una medida de seguridad que nunca he entendido. Me parece que esto pretende evitar que un colaborador modifique los archivos. En el contexto de un único usuario, yo no le encuentro sentido. Si deseas implementarlo de forma manual, esto se puede hacer con una o dos linea en archivo wp-config.
#5 – El filtrar los archivos que subes a tu sitio de WordPress me parece una buena medida asumiendo que uno de los plugins instalado en tu sitio permite subir archivos.
#6 – Lo de prevenir los errores generados por la base de datos es una medida que me parece interesante a la cual no puedo referir porque no conozco el tipo de ataque que se asocia con eso. Puedo creer que esto tiene que ver inyecciones SQL, pero no estoy seguro.
#7 – Sobre la página para reparar la base de datos, se prácticamente nada al respeto, esta es una medida de seguridad que no he visto en otros plugins de seguridad.
#8 – La implementación de las llaves de seguridad de WordPress puede ser llevado a cabo con un plugin de seguridad y este puede ser desactivado y eliminado una vez que la implementación es realizada
#9 – Lo de modificar la cookie de inicio de sesión me parece interesante, esta es una medida de seguridad sobre la cual no he escuchado nada al respecto.
Veredicto: Esta sección tiene medidas de seguridad que no he visto en otros plugins de seguridad, eso se puede deber a que este producto es innovador o tienen medidas innecesarias. Si el hacker tiene acceso a tu cuenta de administrador , no veo como estas medidas lo detengan unos pocos minutos. La seguridad de tu sitio se va por la ventana cuando alguien tiene todos los privilegios.
Consideraciones Importantes
Debes saber que las implementaciones de seguridad implementadas por SecuPress no van más allá de protección a nivel de sitio.
Algo que debes considerar es que la página de acceso no es lo único foco en el que debes preocuparte, si un hacker tiene (1) acceso remoto, (2) acceso a tu cuenta de hosting, (3) acceso a tu base de datos o (4) acceso SFTP, esta medidas no lo detendrán.
S alguien tuviera acceso a uno o más de esos accesos, pueden desactivar el plugin y prácticamente hacer lo que les plazca.
