No hace mucho, un usuario de facebook me comentó que pensaba que su web había sido hackeada y quería que le recomendara algún método fácil de escanear su sitio web en busca de vulnerabilidades. Si como este usuario, sospechas que tu página web ha sido hackeada, puedes empezar por realizar un análisis de seguridad de tu página web WordPress con alguna de estas herramientas online.
En este artículo, he seleccionado los que creo que son los mejores escáneres de seguridad para WordPress, los cuales podrán ayudarte a realizar fáciles y básicas comprobaciones de seguridad.
¿Por qué usar los escáneres de seguridad para WordPress?
Los escáneres de seguridad online te ayudan a comprobar si tu página web o tienda online tiene su seguridad comprometida ya que analizan las vulnerabilidades de WordPress más comunes. Son un buen punto de partida para realizar un análisis inicial de tu sitio web, ya que analizan entre otras cosas, si en tu página web hay enlaces o redirecciones sospechosas, si existe código malicioso o si hay alguna alteración en la versión de WordPress.
Dado que el número de ataques a páginas web se ha disparado durante la pandemia, te recomiendo que instales en tu página web WordPress un plugin de seguridad que incluya un firewall, como WordFence o Sucuri.
Y es que es muy común encontrar a propietarios de páginas web que piensan que los hackers sólo atacan a las páginas web populares, pero lo cierto es que a los piratas informáticos les gustan las páginas web indefensas y fáciles de hackear.
Si te preocupa la seguridad de tu sito web y quieres impedir que los hackers puedan infectarlo, te recomiendo leer mi guía de seguridad en WordPress, en ella te detallo los pasos necesarios para protegerla frente a los ataques más comunes.
Ahora sí, echemos un vistazo a los que considero son los mejores escáneres de seguridad para WordPress.
Google Safe Browsing
Google Safe Browsing
No podía ser otro… Cualquier diseñador de páginas web que se precie te dirá que este es el primer escáner de seguridad que debes correr en tu página web, esté diseñada con WordPress o no.
Muchos de los códigos maliciosos que los hacker instalan en las páginas web de sus víctimas, tienen como misión distribuir su propio código e infectar a otros sitios. Google comprueba millones de direcciones URL a diario y si averigua que una página web contribuye, aunque sea de manera no deliberada, a la distribución de malware, resultará marcada como insegura.
Esto tendrá un efecto negativo para el SEO de tu página web, arruinando tu reputación al informar a tus visitantes de que tu sitio web es inseguro mediante una llamativa página de advertencia.
Para acceder a esta herramienta dirígete a https://transparencyreport.google.com/safe-browsing/search e introduce la URL de tu página web WordPress en el campo “Comprobar el estado del sitio“. Si además empleas Google Search Console, Google te avisará de que tu página web es insegura y te mostrará las acciones que puedes realizar para eliminar el mensaje.
WPSEC
Escáneres de seguridad para WordPress – WPSEC
El escáner online de WPSEC explora tu página web en busca de código malicioso y vulnerabilidades conocidas. Realiza un escaneo profundo de tu página web y compara el núcleo de tu WordPress y te informa si encuentra algún plugin o tema vulnerable.
WPSEC mantiene un índice de vulnerabilidades en su base de datos y comprueba tu sitio web en busca de agujeros de seguridad. detectar tu versión de WordPress, los plugins instalados y los archivos robots.txt.
WPSEC te muestra los resultados de forma simple y efectiva, pero si creas una cuenta gratuita dispondrás de opciones como, notificaciones push y alertas por email, escaneos periódicos de tus sitios web y escaneos avanzados.
Sucuri Sitecheck
Sucuri Sitecheck
De entre todos los escáneres de seguridad para WordPress SiteCheck de Sucuri es el que nos ofrece la comprobación más exhaustiva de nuestra página web. Escanea un sitio en busca de malware, virus, errores, software desactualizado, código malicioso y más.
SiteCheck no termina al realizar un escaneo de la URL que introducimos, sino que hará un escaneo profundo de todas las páginas enlazadas con la URL principal.
Además comprobará nuestra página web empleando Google Safe Browsing para averiguar si se encuentra en la lista negra de Google.
Isitwp WordPress Website Scanner
Isitwp WordPress Security Scanner
La herramienta de escaneo online Isitwp comprueba una página web WordPress en busca de malware y hacks al mismo tiempo que realiza un chequeo del dominio completo.
Isitwp Security Scanner emplea el motor de Sucuri y Google Safe Browsing además de otras listas de malware para asegurarse de que tu dominio está libre de malware.
Además de chequear nuestras vulnerabilidades nos proporcionará instrucciones para reforzar la seguridad de nuestro WordPress.
Hackertarget WordPress Security Scan
Hackertarget WordPress Security Scanner
WordPress Security Scan de Hacker Target realiza una prueba exhaustiva tratando de detectar la versión del núcleo de WordPress, tema en uso, plugins, los nombres de los dos primeros usuarios de WordPress y mucho más.
Al igual que los demás escáneres también emplea Google Safe Browsing para comprobar que un sitio web no se encuentra en la lista negra de Google.
En la versión de pago de WordPress Security Scan podemos seleccionar entre 5 tipos de escaneo, pudiendo elegir entre:
- Análisis pasivo del sitio web.
- Listado de plugins y temas instalados (los 200 más populares).
- Listado todos los plugins (de entre 18000)
- Listar todos los temas (de entre 2600)
- Listar todos los usuarios (los 50 primeros)
Al finalizar el análisis este escáner nos proporciona un informe detallado del estado de la página web con una descripción de cada elemento analizado.
Geekflare WordPress Security Scanner
Geekflare WordPress Security Scanner
Geekflare WordPress Security Scanner emplea el escáner de vulnerabilidades de WPScan y Google Safe Browsing. Analiza la seguridad del núcleo de WordPress, los temas, plugins y la seguridad de las librerías de Java Script del Front-end mediante la herramienta de Google Lighthouse.
Tomando como punto de partida para todas las pruebas de este post una tienda online WordPress desarrollada con WooCommerce, de entre todos los escáneres, Geekflare fue el que más tiempo tomó para realizar el examen de seguridad.
A su favor decir que presentó los resultados de los análisis de manera clara y sencilla, dándonos acceso a otros test adicionales como test de velocidad, comprobador de backlinks perdidos, mixed content, etc.
ScanWP
ScanWP WordPress Scanner
ScanWP es uno de los ecáneres de seguridad de WordPress más básico que veremos en este artículo. ScanWP tratará de averiguar la versión de WordPress de una página web para comprobar si esta emplea la última versión. Además escaena el sitio web en busca de la meta etiqueta wp_generator para comprobar si es visible o no.
La meta etiqueta wp_generator muestra la versión de WordPress que emplea una página web y se puede considerar que mostrar esta meta etiqueta es un riesgo de seguridad ya que
proporcionamos información acerca de la versión de WordPress empleada en nuestro sitio.
Para ocultar la metaetiqueta wp_generator inserta esta línea de código en tu archivo functions.php
remove_action(‘wp_head’, ‘wp_generator’);
Wprecon.com
Wprecon.com
Este es otro de los escáneres de seguridad en WordPress más básicos. Wprecon escanea la indexación de directorios, los backlinks, JavaScripts, iframes y malware a través del portal Virus Total.
Además comrpueba si el núcleo de WordPress o los plugins necesitan actualizaciones, y si la página está en la lista negra de Google mediante Google Safe Browsing.
Como era de esperar los resultados se presentan en un formato claro con una breve explicación de cada elemento escaneado.
Virustotal
Virustotal
Para finalizar, no nos podemos olvidar de VirusTotal. Este escaner online además de permitirnos escanear un fichero en busca de virus, puede comprobar la URL de tu página web en decenas de bases de datos de malware y presenta un informe detallado.
Además, realiza un escaneo en la cabecera de la página web en busca de malware y redirecciones no deseadas.
Conclusión
Estos escáneres de seguridad para WordPress realizan las tareas iniciales para descubrir malware y vulnerabilidades. Para un análisis más exhaustivo y recomendaciones detalladas para eliminar malware puedes ver mi guía sobre como recuperar un WordPress hackeado.
Espero que este artículo haya sido de tu interés y te haya ayudado a conocer el funcionamiento de algunos de los mejores escáneres de seguridad para WordPress.
¿Te ha resultado útil este artículo? Compártelo