WordPress seguridad o velocidad?
Con este título tan radical “WordPress seguridad o velocidad?” quiero comentar una situación con la que me he encontrado y hace referencia a dos de las cuestiones que más traen de cabeza a SEOs, webmasters y diseñadores de páginas web.
WordPress y la velocidad
Hace unos días en un post de Sergio Vazquez donde hablaba de diferentes herramientas para medir la velocidad de un site descubrí una que no conocía tools.pingdom y estuve jugando un buen rato con ella y descubrí “horrorizado” 😉 que mi plugin de seguridad favorito wordfence ralentizaba la carga de mi site.
La ordenación era por el tiempo de carga de los diferentes elementos de la página, y en primera posición salía un proceso de wordfence. El color amarillo significa que está esperando respuesta del servidor. Otros datos que me llamaron la atención fueron como un pequeño resumen que también aparece en la parte superior con el tiempo de carga total, el segundo la comparación con otros sites que la herramienta ha analizado y la “nota” en velocidad de 0 a 100 (más alta mejor claro).
Lógicamente lo primero que hice es desactivar el plugin y volver a pasar el test y la cosa cambió radicalmente. Hice la prueba varias veces borrando la cache del site etc i más o menos la lectura era la misma. Con wordfence la carga era de entre 3-4 segundos y con el plugin desactivado de un segundo menos (una eternidad para google). La otra métrica era que primero sólo eramos más rápidos que un 40% del resto de páginas y después de la desactivación lo eramos entre un 60-70%. Por último la “nota” pasaba de rondar el 60 a un 90, este último dato no he sabido averiguar como lo calcula, pero al final de todos los datos lo más destacado es este proceso tan lento que provoca el plugin.
Otras herramientas para medir la velocidad
Google pagespeed: La que acostumbro a utilizar, gratis y muy potente. Te ofrece una serie de consejos técnicos para la optimización general del site para dispositivos móviles y para pcs de sobremesa.
GTMetrics: La otra, también gratuita y muy visual . Analiza y cualifica de A a F, siendo A el mejor y F el peor, diferentes aspectos y también al final nos da una serie de recomendaciones.
En ambos casos siempre me quedaba con el resultado del test final, que aún siendo mejorable, no estaba nada mal. En este caso pingdom me ofrece el detalle de los procesos y puedes observar si alguno destaca por algún motivo.
WordPress y la seguridad
Ya sabemos que en marzo-abril hubieron una serie de ataques de fuerza bruta a cientos de blogs basados en wordpress. El utilizar una plataforma tan extendida tiene como desventaja que es foco del malware que corre por la web.
Hay una serie de recomendaciones básicas como la de tener el sistema actualizado, no utilizar el usuario admin como administrador, utilizar contraseñas complejas, hacer copias de seguridad etc. no me voy a extender en este artículo. Lo otro que puedes hacer es utilizar algún plugin de seguridad.
Plugins de seguridad
Hay muchos, si entras en el directorio de instalación de plugins y escribes “security” te aparecerán mas de 1.000 resultados. Como no hay que abusar yo utilizaba sólo estos dos primeros:
Sucuri Security:Funciona más bien como un antivirus del site, lo escanea en busca de malware, spam, errores y anomalías producidas por ataques externos, etc. Nota 4,5 sobre 5.
Wordfence: 714 mil descargas y una nota de 4,8/5. Su creador cuenta que hace un par de años hackearon su web y esto le hizo desarrollar este firevall, antiviurs, reparador de la base datos etc. Fácilmente configurable en su versión free 4 niveles de seguridad (por defecto viene la 2).
No soy tan técnico pero por lo que he leído parece ser que la rigidez del firevall es lo que más afecta al rendimiento del site.
Better WP Security: Más de 1 millón de descargas y 4,8/5. Es el que actualmente tengo instalado y lo estoy testeando. No ralentiza el site y cuando lo activas lo primero que hace es una copia de seguridad de tu base de datos y te la envía por email. Esta en castellano y tienes diferentes pestañas con recomendaciones y configuraciones. Esta claro que en verde está lo que es correcto, en naranja lo mejorable, en rojo lo que es peligroso y en azul elementos que no son completamente seguros pero podrían entrar en conflicto con otros temas, plugins, y el resto de operaciones de tu sitio. All In One WP Security & Firewall: 27 mil descargas y 4,9/5 Otro plugin que estoy probando en otro site, es más nuevo que los otros y que tiene buena pinta, es fácilmente configurable y consume pocos recursos.
Limit Login Attempts:360 mil descargas y 4,8/5. Un clásico que lo que hace es evitar los ataques de fuerza bruta poniendo un límite a los intentos de login. Lo utilice hace tiempo pero actualmente cualquiera de los plugins anteriores ofrece esta misma funcionalidad entre sus múltiples características.
Resumen / conclusiones
Todavía no he terminado con las pruebas y los análisis, ahora estoy trabajando con el P3 Plugin Profiler que lo que hace es medir el impacto que tienen los plugins en el rendimiento del site, pero no he acabado las pruebas porque me salen resultados contradictorios.
De momento lo que he hecho es sustituir wordfence por better wp security, me gustaría que los que utilizáis habitualmente wordfence pasarais tools.pingdom u alguna otra herramienta para observar si os pasa lo mismo que a mi.
Al final el dilema wordpress seguridad o velocidad no debería existir porque habríamos de tener las dos cosas, no?
Gracias Josep por la mención. Comparto tu opinión y me alegra te sirva mi entrada para mejorar
A ti por el aporte y por compartir en Twitter, la verdad es que esto de la velocidad es importante para Google.