Aunque te parezca un poco rara la mezcla de seguridad SEO en realidad tiene todo el sentido por varios motivos, a saber… 

• Si tu web está insegura el SEO no tendrá futuro, menos si al final la hackean.
• Una vez instalada tu web si hay algún plugin imprescindible siempre serán los primeros uno de seguridad para reforzar tu sitio, y uno de SEO con el que ayudarte a mejorar su posicionamiento.

Esto es lo fundamental, así que hoy quiero compartir contigo los que considero que son los mejores plugins gratuitos de seguridad y SEO para WordPress, para que no pierdas tiempo buscando entre los miles de plugins que hay en WordPress.org, y que a veces confunde más que ayudar.

¿Por cuáles empezamos?, pues por los de seguridad, pues siempre que instales WordPress para hacer una web, el primer plugin que debes instalar siempre debe ser uno de seguridad.

Los mejores plugins de seguridad gratis para WordPress

Toda selección de plugins es siempre personal, la mía también, pero te aseguro que en esto de la seguridad no tengo amigos, o me sirves o no me sirves.

Y empezaré siéndote sincero con mi primera decepción, y es que ningún plugin WordPress gratuito de seguridad ofrece todo lo necesario para un refuerzo completo, a todos les falta algo, así que tenlo en cuenta a la hora de determinar cuál usarás en tus webs, porque no es suficiente, ninguno, a todos les falta algo, que al final de la lista te diré.

Dicho esto, empezamos… 

Security Optimizer

Este plugin de seguridad gratuito de SiteGround puedes usarlo en cualquier hosting, con todas sus herramientas totalmente gratuitas, así que no es algo exclusivo para sus clientes, ni tiene ningún requisito especial.

Eso sí, aunque como te he dicho, Security Optimizer es totalmente gratuito y está disponible para cualquier usuario de WordPress, utilizarlo en el hosting de SiteGround desbloquea ciertas ventajas adicionales que merecen la pena, pues en SiteGround este plugin viene preinstalado y acompañado de una serie de medidas de seguridad adicionales a nivel de servidor que refuerzan aún más la protección de tu sitio, sin necesidad de configuración extra:

• Firewall de aplicaciones web (WAF) personalizado y actualizado constantemente
• Reglas de seguridad gestionadas a nivel de servidor
• Monitorización constante del entorno
• Copias de seguridad automáticas y fáciles de restaurar
• Soporte técnico especializado 24/7, preparado para ayudarte con cualquier incidencia de seguridad

En cuanto a tus estrategia de protección se basa en 4 frentes:

1. Seguridad del sitio – En esta sección se centra en la protección del sistema de archivos y de reforzar la seguridad interna de WordPress.
2. Seguridad en el acceso – Fundamental, con estrategias para evitar ataques de fuerza bruta y/o diccionario.
3. Registro de actividad – Registro de accesos y acciones de usuarios registrados o no, con posibilidad de bloquear IPs.
4. Acciones post-hackeo – Sencilla herramienta que permite reinstalar de manera limpia todas los plugins y temas existentes desde WordPress.org.

Dicho esto, yendo por partes, la parte mejor cubierta es la de seguridad en el acceso, pues contempla lo fundamental:

• Enmascarar la URL de acceso, para evitar bots que atacan a las direcciones de login conocidas de WordPress, así como ataques DDOS así definidas.
• Bloqueo de intentos de acceso exagerados, para bloquear ataques al login.
• Doble verificación (2FA), la única medida de seguridad realmente efectiva para evitar accesos indeseados.

Además permite definir IPs únicas con permiso de acceso, muy restrictivo, pero útil cuando es viable, y alguna medida más de ocultación de información que pudiese ayudar a hackers a determinar cómo atacar tu web.

Esta sección es muy completa.

En cuanto a la seguridad del sitio cumple con la mayoría de lo necesario:

• Protección contra ataques XSS
• Desactivar los protocolos XML-RPC y los feeds RSS innecesarios
• Protección contra ejecución en las carpetas internas de WordPress.
• Desactivar edición de archivos en WordPress

Además, de nuevo, de alguna ocultación de información gratis, en la cabecera HTML y en el archivo de la versión de WordPress.

Esta sección es muy completa, y a mi parecer solo le faltaría poder cambiar los permisos de los archivos sensibles: wp-config.php y .htaccess, por lo demás es prácticamente perfecta.

Por último, el registro de actividad puede que no sea de las herramientas que consulto a diario, pero reconozco que tiene su valor. Especialmente útil para quienes necesitan llevar un control preciso o hacer un seguimiento detallado, esta función puede ser clave en muchos casos.

Por resumir te diré algo que muchos ya saben, y es que en mis webs y en las de mis clientes el plugin de seguridad que siempre utilizo es este, Security Optimizer, al que refuerzo con lo que comento al final de esta sección, así que no puedo ser más claro.

¿Le faltan cosillas?, ya lo he comentado, pero tiene un equilibrio muy bueno de funcionalidades y lo que le falta es fácilmente subsanable. Y a su favor diré que nunca han hackeado ninguna de mis webs o de mis clientes desde que uso la combinación de seguridad actual.

Wordfence Security

Si hay un plugin WordPress de seguridad famoso ese es Wordfence Security, y de hecho es el que más instalaciones tienes activas de todos.

Sus herramientas son las siguientes:

• Cortafuegos – Ofrece un cortafuegos básico a nivel de servidor, así como un cortafuegos WAF, también básico.
• Exploración de archivos – Dispone de una herramienta muy útil de análisis de la instalación, con detección de archivos infectados o sospechosos, con la posibilidad de recuperar la copia original desde WordPress.org. Esta es quizás su herramienta que más me gusta de largo
• Seguridad en el acceso – Ofrece la doble verificación, con periodo de gracia configurable, que personalmente creo que sobra, porque todos terminan activándolo, lo que viene a ser un «quiero la doble verificación pero todavía no». También tiene control de límite de intentos de acceso y – muy útil – detección de contraseñas que se sabe que han sido vulneradas previamente.
• Protección del sistema de archivos – Ofrece la posibilidad de añadir la protección de los archivos del sistema

Y me dirás … «¡Leche, Fernando, si tiene de todo! ¿por qué no es también tu favorito?»

La respuesta es sencilla: experiencia, en realidad, malas experiencias.

Tengo una muy mala estadística con Wordfence y es que todas las webs que me han pedido que desinfecte de virus y malware, todas, tenían activo Wordfence, gratis o de pago ¿he dicho todas?

Esto es debido principalmente a varios motivos, en mi opinión, y experiencia:

• Wordfence tiene muy buenas herramientas pero la mayoría vienen desactivadas por defecto, y los usuarios no saben configurarlas, pues muchas además no son sencillas de entender. No digo que no se pueda configurar bien Wordfence pero debe hacerlo alguien ya experto en seguridad. Además, el hecho de que estén inactivas por defecto hace que muchos usuarios ni las activen.
• En varias ocasiones Wordfence ha ocultado, o retrasado, fallos propios de seguridad, dejando vulnerables a sus usuarios, algo que en un plugin de seguridad es imperdonable.
• No permite bloquear protocolos débiles, como XML-RPC o la API REST, por propia filosofía, algo incomprensible en un plugin de seguridad, pues es una decisión comercial, de que TODO funcione con su plugin activo, en vez de PRIMERO proteger, y luego tratar de ser compatible.

Todo esto me lleva a llegar a la conclusión de que nunca utilizo ni recomiendo Wordfence, que de paso, tampoco tiene un cortafuegos realmente potente, ni añade cabeceras de seguridad, junto a sus otros problemillas.

Tampoco es de mi gusto que necesites darte de alta en su web y añadir una clave de API para usar el plugin, cuando en realidad no es para nada necesario, salvo que quieras participar de su red de sitios.

Una pena porque tiene todo lo necesario para ser un gran plugin de seguridad, pero con un enfoque de producto equivocado.

Solid Security

Termino esta parte con el que durante mucho tiempo fue mi plugin de seguridad favorito, pues lo tenía todo: herramientas a montones y sencillez en la configuración.

El antiguamente conocido como Better WP Security, posteriormente como iThemes Security, y actualmente como Solid Security.

¿Por qué dejó de ser mi plugin favorito?, pues por estos 2 motivos:

1. Complicaron innecesariamente su configuración.
2. Pusieron de pago funcionalidades que siempre habían sido gratuitas.

Hubo un cambio de empresa propietaria, que provocó una serie de cambios que no ayudaron, pero no obstante, sigue siendo un plugin de seguridad viable, enfocado en estos valores:

• Análisis de archivos de la instalación para buscar vulnerabilidades.
• Cortafuegos – muy – básico para evitar ataques DDOS.
• Seguridad en el acceso mediante comprobaciones de seguridad básicas en usuarios y activación a voluntad de la doble verificación, además de ocultación del login.
• Protección del sistema de archivos, evitando ejecución de PHP y protegiendo archivos sensibles, algo esto último que otros no tienen.

Suma frente a otros plugins que sigue ofreciendo algunas utilidades de seguridad que, al menos a mi, me encantan:

• Control de acceso a la API REST.
• Cambiar el ID 1 del primer usuario.
• Cambiar el prefijo de la base de datos.
• Cambiar los SALTS de WordPress.

A pesar de ello, la configuración es algo errática, teniendo los ajustes en lugares poco lógicos, que hace que a veces no sepas si quiera que existen, aunque a su favor diré que los importantes están activos por defecto.

De todos modos, a pesar de que sigue teniendo sus virtudes, el flojo cortafuegos y concepto demasiado básico me hace que tenga que – a mi pesar – descartarlo para cualquier web.

¿Qué les falta a todos los plugins de seguridad para WordPress?

Como te dije antes, todos adolecen de lo mismo, y a todos les faltan un par de medidas de seguridad imprescindibles:

1. Cabeceras de seguridad HTTP, para reforzar la seguridad desde la conexión con el navegador – Puedes añadirlas con un plugin como HTTP Headers.
2. Firewall del servidor, que proteja tu instalación frente a la mayoría de los ataques más frecuentes a sitios WordPress – Puedes añadir el más potente, por supuesto gratis, descargando el 8G Firewall de Perishable Press, solo tienes que descargar el zip y añadir a tu archivo .htaccess las reglas que encontrarás dentro del fichero comprimido.

Los mejores plugins de SEO gratis para WordPress

¿De verdad hay que instalar un plugin de SEO en WordPress?, ¿no dicen siempre que WordPress es muy bueno para el SEO sin tener que añadirle nada?

Te engañan, a medias…

WordPress es muy bueno para el SEO por sí solo, por varios motivos:

• Genera un robots.txt virtual con la situación de indexado de sus contenidos, que puedes elegir indexar o no desde los ajustes generales.
• Crea un mapa del sitio más que suficiente para cualquier bot de los buscadores.
• La relación canonical de sus contenidos es, por defecto, perfecta, no provocando ningún posible error de mala identificación de contenidos supuestamente duplicados.
• Su estructura de URLs es jerárquicamente sencilla, fácilmente identificable por los buscadores.
• Genera un HTML correctamente estructurado.

Pues ya está ¿no?

Para mi gusto le faltarían solo un par de cosillas:

• Poder personalizar el mapa del sitio para elegir qué sale y qué no.
• Poder indexar o no tipos de contenido y contenidos concretos.
• Poder definir metas title y description personalizadas.

Hay muchas más cosas que ofrecen los plugins de SEO para WordPress, pero con esto me parecería más que suficiente, porque realmente son herramientas que le faltan, y a nada que las uses verás que son imprescindibles.

Dicho esto, vamos a ver los que considero que son los mejores plugins gratuitos de SEO para WordPress, que por supuesto cumplen con esas cosillas que le faltan a WordPress, y le añaden alguna cosilla más que tampoco está mal.

SEOPress

Como siempre, empezaré con mi plugin – actualmente – favorito para SEO en WordPress, y es que ya hace más de 3 años que uso principalmente SEOPress en todas mis webs y las de mis clientes, y todo han sido mejoras, sin nada que objetar.

Lo que ofrece SEOPress, para mejorar el SEO de WordPress, y competir con otros plugins de SEO, es lo siguiente:

• Sencillo asistente de configuración con importación (completa) desde datos de otros plugins de SEO.
• Configuración completa de metas title y description por tipo de contenido, taxonomías y archivos.
• Mapa del sitio XML, HTML, de autores y de vídeo, totalmente configurables, sin publicidad y muy rápidos de cargar.
• Análisis SEO en el editor, compatible con los principales maquetadores (Elementor, Divi, etc.) pudiendo usar varias frases clave, personalización social con vistas previas y metas avanzadas.
• Detector de enlaces entrantes y salientes.
• Marcado como noindex, nofollow, etc. rápido desde edición rápida, en lotes y editor.
• Compatible con WPML.
• Indexado instantáneo en Bing y Google.
• Integración con Google Analytics, Matomo, Clarity, Search Console y otros rastreos personalizados.
• Barra de cookies / RGPD
• Ajustes avanzados de optimización SEO de imágenes: quitar caracteres, alt, title,  descripción y leyendas automáticas.
• Quitar category de WordPress y WooCommerce.
• Quitar enlaces innecesarios en cabecera HTML, archivos y páginas individuales.
• Código limpio y sin publicidad en el HTML.
• Escaso consumo de recursos y base de datos.
• Asistente SEO mediante IA (todos traen esto actualmente)

Si has usado plugins de SEO para WordPress habrás comprobado que tiene lo que todos, pero con algunos extras, como el poco uso de recursos y el código limpio que genera, algo vital en webs de cierto tamaño.

Como los plugins más populares, tiene el analizador de SEO, la vista previa del snippet de búsqueda, y toda esas pijadas que nos gustan, pero además tiene funcionalidades de SEO puro y duro que son las que marcan diferencias, como la limpieza de código, el etiquetado de imágenes o la gestión de snippets enriquecidos, en lo que destaca.

Si te vale de algo mi experiencia, he pasado por todos los plugins de SEO que hay para WordPress, y actualmente es el que considero más completo, limpio y efectivo.

Rank Math SEO

Hace unos años habría dicho que el plugin de SEO líder sin discusión sería otro (luego 

hablamos de eso) pero actualmente la mayoría de nuevas instalaciones se las lleva Rank Math, y será por algo ¿no?

Te lo resumo muy fácil:

• Rank Math es una mezcla de todo lo bueno que siempre han tenido All in One SEO y Yoast SEO, en sus versiones de pago, pero en Rank Math es gratis.

Buena estrategia ¿verdad? Sobre todo teniendo en cuenta que All in One SEO casi cada año ha ido teniendo menos funcionalidades gratis porque de repente eran de pago, por obra y gracia de sus nuevos propietarios.

Pero Yoast SEO tampoco se ha ayudado, pues ha dejado en la capa de pago funcionalidades que realmente no aportan nada como para decidirse a pagar un plugin, pero que si te las dan gratis entonces sí que … «es que aquí además te regalan esto y lo otro»

Que sí, que somos unos tristes y nos gusta todo gratis, pero es que existe, no lo decidimos nosotros, hay opciones, y elegimos.

Por avanzar, está claro que Rank Math ha acertado en mucho, y ofrece montones de herramientas gratis, toma nota:

• Sencillo asistente de instalación y configuración
• IA de ayuda con contenidos, por supuesto
• Monitor de errores 404
• Gestor de redirecciones completo
• Ajustes de SEO local básicos
• Mejoras de SEO de imágenes
• Mapa del sitio XML
• Editor de robots.txt
• Contador de enlaces
• Analizador SEO

Como te decía, tienes Yost SEO premium, pero gratis, y el funcionamiento es prácticamente el mismo. ¿Que de qué viven?, pues principalmente de servicios avanzados, analítica y seguimiento de rastreos SEO y ese tipo de servicios adicionales de posicionamiento.

Y dirás «si tantas cosas gratis tiene y no dices que no te guste ¿por qué no es Rank Math tu favorito en vez de SEOPress», y te lo voy a explicar…

Principalmente, mis quejas sobre Rank Math SEO son las siguientes:

• Demasiado consumo de recursos, no es el peor, pero está en el top 3 de más consumidores de RAM y CPU de entre los plugins de SEO.
• Código con demasiado sobrante, poco limpio.
• Demasiadas herramientas innecesarias activas por defecto (sí, se pueden desactivar).
• El empeño en que te registres en su web.
• El gestor de redirecciones, un aliciente, normalmente de pago en otros plugins, también en SEOPress, es errático y me ha dado muchos disgustos en webs de clientes, básicamente no funciona perfecto, cuando hay soluciones gratuitas que sí funcionan perfectamente, así que una de las principales ventajas de Rank Math pierden su valor.

Pero, esto no significa que no sea un fantástico plugin de SEO, aunque tampoco sería nunca mi segunda opción, aunque te sorprenda…

Yoast SEO

Pues sí, mi segunda opción sigue siendo Yoast, tras descartar las redirecciones gratuitas de Rank Math, y a pesar de que en Yoast algunas funciones como el indexado automático solo están disponibles en su versión de pago, lo cierto es que hay  otros plugins que ofrecen características similares de forma gratuita.

Y es debido a que, aunque Rank Math le copia en todo, o casi, a Yoast, la realidad es que con Rank Math he tenido sustos con los mapas del sitio y el indexado que jamás pasan ni con SEOPress ni con Yoast SEO, y la fiabilidad en temas de SEO es un básico, porque lo contrario es arruinar tu posicionamiento en buscadores.

Yoast SEO sigue siendo un gran plugin, con todo lo fundamental, en lo que fueron los mayores innovadores, pero tristemente se van quedando atrás, desconozco el motivo, pero están centrados en otras cosas, y tampoco es que sus versiones de pago ofrezcan nada realmente potente que merezca la pena, pues todo lo que ofrecen de pago puedes conseguirlo gratis con otros plugins, que lo hacen mejor. 

Si me apuras, el modelo premium de Rank Math es más acertado, porque no ofrecen funcionalidades extras del plugin, sino herramientas adicionales, complementarias, ajenas al plugin en sí mismo.

No obstante, si usas Yoast SEO, y no tienes motivos para el cambio, sigue siendo un gran plugin de SEO.

En su contra, realmente, solo tengo que tiene demasiados ajustes innecesarios, que consume una burrada de recursos, y que mete código de más y excesiva publicidad en la versión gratuita. hasta en el mapa del sitio, es incontenible, y llega a ser molesto, ni te cuento si lo pones en webs de clientes, ahí, siempre, mostrando banners para que compres sus versiones de pago. Me parece muy poco profesional.

Tener tiene de casi todo lo importante, y lo hace bien, sin sustos, pero le sobran tantas cosas que te reconozco que le he cogido manía, y cuando te acostumbras a un plugin que hace lo que debe y no te da la tabarra con más cosas, simplemente está ahí, haciendo lo suyo, sin molestar, volver a la pesadez e insistencia comercial de Yoast es abrumador, inaceptable.

Extra – Redirection

Te vengo diciendo que por muchas cosas que le metan a los plugins siempre hay alguno que lo hace mejor, y este es quizás el mejor ejemplo.

Porque nada justifica ni el pago por SEOPress premium (y mira que me encanta y es el que uso), ni siquiera el uso gratis del gestor de redirecciones de Rank Math, cuando hay un plugin, Redirection, totalmente gratis, que es perfecto en lo suyo: gestionar redirecciones y controlar errores 404.

Si además te digo que puede crear redirecciones automáticamente para cambios de slugs en tu instalación, no hay más que hablar: Redirection es un plugin imprescindible, obligatorio, en todo sitio WordPRess, da igual que plugin de SEO utilices.
El plugin Redirection es el compañero perfecto para cualquier otro plugin de SEO que elijas, y si tu plugin de SEO ya tiene gestor de redirecciones no lo uses, utiliza Redirection para ello.

La combinación perfecta de plugins SEO

En mi caso, mi combinación perfecta de SEO es SEOPress + Redirection, y no me quejo, no me va mal.

Gracias por haber llegado hasta aquí, cualquier duda que tengas déjala en los comentarios y contestaré lo antes posible.