La seguridad de los sitios web, se puede dividir en varios niveles, o layers. A nivel de aplicación (tu instancia WordPress), donde se puede instalar un plugin de “seguridad”, es el último de todos, el más débil y la protección más vulnerable.
Los niveles, hablando en términos muy, muy básicos son los siguientes:
- Nivel DNS: la primera “puerta de entrada” a la seguridad de tu sitio web.
- Nivel servidor: el segundo nivel, configurado y ejecutado en el servidor.
- Nivel aplicación: tu instalación WordPress; donde iría el plugin de seguridad del que hablamos.
Dicho esto, y sin tener tiempo para explicar más en este artículo (si tienes interés en saber más, deja tu comentario y me pondré con ello), cubriendo bien los niveles DNS y Servidor. Es casi innecesario instalar un plugin de seguridad. Casi todas estas funciones que “beneficiosas” que anuncian estos plugins, se pueden implementar antes de que el ataque llegue al nivel de aplicación.
Recursos servidor
El problema es que si un ataque llega a nivel de aplicación, y es el plugin que tiene que pararlo o mitigarlo, va a consumir muchos recursos de tu servidor. Si llega a atacar tu SQL lo va a tumbar con mucha facilidad.
El otro problema es, que al ejecutar (el plugin) sus búsquedas/escaneo de tu sitio web, también va a requerir recursos del servidor.
Marketing plugins seguridad
Este es el tema: te prometen proteger tu sitio web instalando el plugin y configurándolo con unos clicks. Así de fácil. Hay tanto marketing de afiliados, tantas recomendaciones (nota: nosotros también hacemos recomendaciones, con links de afiliados, pero en nuestro caso genuinamente creemos en estos productos y usamos muchos internamente/personalmente también) y tanta facilidad, que lo deja como una opción obvia. No quiero decir que estos plugins son totalmente innecesarios y/o inútiles, pero…
Dificultad
Como todo lo bueno, es difícil hacerlo bien. Configurar la seguridad a nivel DNS puede ser bastante fácil, gratuito en muchos casos (Cloudflare es el mejor ejemplo para ello) y muy efectivo.
Configurar tu servidor web en cuánto a la seguridad para tu aplicación (aparte de la configuración de seguridad del propio servidor), es un tema para un tomo de artículo en el blog.
Por lo que, cuando muchos usuarios de WordPress se enfrentan a Fácil & rápido vs. Difícil & lento, la primera opción es la más popular. Un verdadero experto (como tú deberías ser, o ya eres) se irá por la segunda opción. Créeme, tras proteger 2-3 sitios web como es debido, ya no será difícil.
Como dicho antes: Si hay más interés en este tema, voy a ampliar este artículo.
Responses