Sucuri vs iThemes Security es una de las comparativas más buscadas en seguridad WordPress en 2026, y la respuesta no es obvia: son herramientas que operan en capas distintas. Sucuri protege desde la nube filtrando el tráfico antes de que llegue a tu servidor; iThemes Security (hoy llamado Solid Security) endurece WordPress desde adentro. Elegir solo uno depende de qué problema querés resolver primero.
En 30 segundos
- Sucuri tiene un WAF cloud real: el tráfico pasa por CloudProxy antes de llegar a tu servidor. iThemes Security (Solid Security) no tiene WAF cloud, solo endurece WordPress a nivel plugin.
- El plugin de Sucuri es gratuito, pero el WAF real es pago: desde USD 9.99/mes o USD 199.99/año en el plan Platform con WAF, CDN y limpieza de malware.
- Solid Security Pro cuesta alrededor de USD 99/año por sitio. La versión gratuita ya incluye las funciones de hardening más importantes.
- Para tiendas WooCommerce con tráfico real, Sucuri protege el checkout y absorbe DDoS; Solid Security complementa con 2FA y protección de login.
- La configuración más robusta combina ambas: Sucuri en el perímetro externo, Solid Security para hardening interno. No se pisan.
Sucuri es un servicio de seguridad web que actúa como barrera perimetral: el tráfico que entra a tu sitio pasa primero por la infraestructura cloud de Sucuri (CloudProxy) antes de llegar a tu servidor de WordPress. iThemes Security, comercializado hoy como Solid Security por SolidWP, es un plugin de hardening que refuerza la configuración interna de WordPress sin agregar ninguna capa de red externa. Son enfoques distintos para problemas distintos: uno bloquea amenazas antes de que lleguen, el otro reduce la superficie de ataque en el sitio.
¿Cómo funciona Sucuri como firewall WAF de WordPress?
El WAF de Sucuri no vive en tu servidor. Cuando lo activás, cambiás los registros DNS de tu dominio para que apunten a los servidores de CloudProxy, la red de distribución de Sucuri. Desde ese momento, cualquier request que intente llegar a tu WordPress pasa primero por ese filtro.
Ponele que tu sitio recibe un pico de DDoS de 50.000 requests por minuto durante un fin de semana de descuentos: tu servidor nunca los ve. Sucuri los absorbe. Lo mismo con inyecciones SQL, tráfico XSS, bots de fuerza bruta masivos. Se bloquean en la red de Sucuri antes de consumir un solo byte de tu hosting.
El plugin gratuito de Sucuri, disponible en el repositorio oficial de WordPress, hace cosas útiles: escaneo de integridad de archivos, log de actividad, alertas de cambios sospechosos. Pero el WAF cloud no viene con el plugin gratuito. Para tener el firewall real necesitás una suscripción de pago al servicio de plataforma, que implica además el cambio de DNS.
Eso sí: no todos los hosting te permiten modificar los registros DNS fácilmente, y algunos tienen capas de caché o CDN propias que pueden generar conflictos con el enrutamiento de Sucuri. Verificalo antes de contratar.
¿Qué características de hardening ofrece iThemes Security?
Solid Security trabaja desde adentro de WordPress, no desde la red. Su conjunto de herramientas de hardening incluye:
- Cambio de URL de login: /wp-login.php es el primer lugar que prueban los bots. Moverla a una URL personalizada corta el tráfico automatizado de ataque al instante.
- Autenticación de dos factores (2FA): configurable por usuario con soporte para apps TOTP estándar. En la versión Pro, más métodos disponibles.
- Protección contra fuerza bruta: bloqueo temporal de IPs después de N intentos fallidos. El umbral y la duración son configurables.
- Detección de cambios de archivos: si alguien modifica un archivo de WordPress Core o un plugin, el sistema lo registra y puede notificarte. Útil para detectar compromisos tempranos.
- Deshabilitación de XML-RPC: un vector de ataque clásico que la mayoría de los sitios no necesita pero deja activo. Solid Security lo cierra con un toggle.
- Detección de patrones de 404: escanear URLs inexistentes es una técnica de reconocimiento. El plugin detecta esos patrones y puede bloquear las IPs automáticamente.
- Imposición de contraseñas fuertes: en sitios con múltiples colaboradores o clientes con cuentas propias, este control solo vale su peso en oro.
Lo que no tiene: WAF cloud, limpieza de malware, protección CDN, ni absorción de DDoS a nivel red. Si tu servidor recibe un ataque volumétrico, el servidor lo procesa. Solid Security puede bloquear cosas antes de que lleguen a WordPress, pero sigue siendo PHP corriendo en tu stack, no un filtro externo. Relacionado: otras comparativas entre plugins de seguridad.
¿Dónde opera la seguridad: cloud (Sucuri) vs servidor (iThemes Security)?
Esta diferencia de capa es la más importante de toda la comparativa, y la que más se pasa por alto.
Sucuri actúa antes del servidor. Solid Security actúa dentro del servidor. Si te gustan las analogías: Sucuri es la garita de seguridad en la entrada del edificio que filtra quién entra; Solid Security es la cerradura reforzada, el sistema de alarma interno y el registro de actividad adentro del departamento. Los dos tienen sentido. Ninguno reemplaza al otro.
| Característica | Sucuri (WAF Cloud) | Solid Security (iThemes) |
|---|---|---|
| Capa de operación | Red/DNS (CloudProxy) | Aplicación (PHP en tu servidor) |
| Filtra tráfico antes del servidor | Sí | No |
| Protección DDoS | Sí (absorbe en red) | No (el servidor la recibe) |
| WAF contra SQLi / XSS | Sí, a nivel cloud | Limitado a nivel plugin |
| Hardening de login (2FA, URL custom) | Básico | Completo |
| Detección de cambios de archivos | Sí (via SiteCheck) | Sí (monitoreo local) |
| Requiere cambio de DNS | Sí (para WAF activo) | No |
| Impacto en recursos del servidor | Bajo (filtra antes) | Moderado (corre en tu server) |
La instalación que más se repite entre administradores con cierta experiencia: Sucuri WAF para bloquear el tráfico sucio en el perímetro, y Solid Security para proteger el acceso interno, gestionar roles, y detectar cambios sospechosos en archivos. No se pisan porque trabajan en capas distintas.
Comparativa de costos: planes y precios de Sucuri vs iThemes Security en 2026
Ojo con la trampa más común: el plugin gratuito de Sucuri no incluye el WAF. Mucha gente lo instala, ve el logo en el panel y cree que tiene «protección completa». No la tiene (ese es quizás el error más costoso de toda esta comparativa, y lo vemos repetido constantemente).
| Producto | Plan | Precio aprox. 2026 | ¿Incluye WAF cloud? |
|---|---|---|---|
| Sucuri Scanner (plugin) | Gratuito | USD 0 | No |
| Sucuri Firewall | Solo WAF | USD 9.99/mes | Sí |
| Sucuri Platform Basic | WAF + CDN + escaneo + limpieza | USD 199.99/año | Sí |
| Sucuri Platform Pro | Idem + respuestas más rápidas | USD 299.99/año | Sí |
| Sucuri Platform Business | Idem + SLA reforzado | USD 499.99/año | Sí |
| Solid Security (iThemes) Gratuito | Hardening básico | USD 0 | No |
| Solid Security Pro | 1 sitio, 1 año soporte | USD 99/año aprox. | No |
La relación costo-beneficio varía según el caso. Un blog personal con poco tráfico puede vivir bien con Solid Security gratuito. Un e-commerce que procesa pagos necesita el WAF cloud. El plan Sucuri Platform Basic a USD 199.99/año incluye limpiezas de malware ilimitadas: si alguna vez necesitás contratar ese servicio por separado, entendés por qué el plan anual se paga solo.
Para quienes hospedan en Argentina, si ya están en donweb.com, revisá qué capa de protección de red incluye tu plan antes de sumar un servicio cloud encima. Algunos planes incluyen filtros que pueden solaparse con configuraciones de WAF externo.
¿Cuál es mejor para proteger tiendas WooCommerce?
Ponele que tenés una tienda con 300 productos, checkout con tarjeta, y un pico de tráfico en Hot Sale o Navidad. ¿Cuál de los dos necesitás? Tema relacionado: cómo se compara Jetpack con Wordfence.
Sucuri lleva ventaja en este escenario. Los ataques a e-commerce son específicos: intentos de carding (probar números de tarjetas robadas en el formulario de checkout), bots scrapeando precios, y picos de DDoS durante campañas de descuento que pueden tirar el sitio justo cuando más ventas hay, en el peor momento posible. El WAF cloud de Sucuri bloquea bots de carding a nivel red, tiene reglas específicas para WooCommerce, y el CDN acelera la carga de páginas de producto.
Solid Security no tiene herramientas específicas para WooCommerce más allá del hardening genérico de WordPress. Pero complementa bien: el 2FA en cuentas de administrador, el bloqueo de intentos de acceso no autorizado a cuentas con historial de compras, y la detección de cambios en archivos para notar si alguien tocó el plugin de pagos.
Si el presupuesto obliga a elegir uno solo: arrancá con Sucuri. El WAF protege lo que más duele perder en un e-commerce: la disponibilidad del checkout y la integridad del proceso de pago. Los planes Platform de Sucuri incluyen además limpieza de malware sin costo adicional, lo cual es crítico si el sitio sufre un ataque de tipo skimmer (JavaScript malicioso inyectado en el checkout para robar datos de tarjetas). Solid Security no tiene servicio de limpieza.
Mirá también nuestro artículo sobre cómo proteger WooCommerce con firewall y medidas de seguridad específicas para una guía más detallada de ese caso.
Capacidades de escaneo de malware y detección de amenazas
Hay un dato que conviene marcar: iThemes Security usa Sucuri SiteCheck para su propio escaneo de malware. Cuando Solid Security escanea tu sitio en busca de código malicioso, llama a la API de Sucuri. Lo cual dice bastante sobre quién tiene capacidad real de detección en esta comparativa.
| Capacidad | Sucuri | Solid Security (iThemes) |
|---|---|---|
| Escaneo de malware | Avanzado (motor propio + SiteCheck) | Básico (via Sucuri SiteCheck) |
| Detección de blacklist | Sí (Google, McAfee, Norton, etc.) | Sí (via SiteCheck) |
| Limpieza de malware | Incluida en planes Platform | No incluida |
| Monitoreo de reputación del dominio | Sí | No |
| Detección de vulnerabilidades en plugins | Sí (planes pagos) | Sí (versión Pro) |
| Monitoreo de cambios en archivos | Sí | Sí (en tiempo real) |
| Log de auditoría de actividad WP | Sí (plugin gratuito) | Sí (versión Pro) |
¿Alguien verificó si el escaneo gratuito de ambos alcanza para uso real en producción? La respuesta corta es que SiteCheck hace un escaneo externo: analiza el HTML visible del sitio, no los archivos PHP en el servidor. Malware que no se refleja en el HTML de salida (backdoors alojados en /wp-content/uploads, por ejemplo) no aparece. Para detección profunda en archivos del servidor necesitás los planes pagos de Sucuri.
¿Cuál consume menos recursos del servidor?
Sucuri gana por lejos en este punto.
Cuando el WAF de Sucuri está activo, el tráfico malicioso nunca llega a tu PHP, tu base de datos ni tu WordPress. El servidor procesa solo requests legítimas. En hosting compartido, donde los recursos son fijos y los vecinos de servidor importan, eso puede hacer la diferencia entre un sitio que responde en 400ms y uno que colapsa bajo un ataque moderado. Esto se conecta con lo que analizamos en análisis de Solid Security frente a Wordfence.
Solid Security corre en tu servidor. Cada request que llega ejecuta las reglas del plugin, consulta la lista de IPs bloqueadas, evalúa condiciones configuradas. No es un consumo enorme en condiciones normales, pero en hosting compartido con poca memoria PHP disponible puede volverse un problema, especialmente con otros plugins pesados activos.
El impacto en Core Web Vitals también varía: Sucuri WAF con CDN generalmente mejora los tiempos de carga porque sirve assets desde servidores edge cercanos al visitante. Solid Security no tiene efecto directo sobre CWV.
¿Debería usar Sucuri e iThemes Security juntos?
Sí, y es la configuración que más se recomienda cuando el presupuesto lo permite.
No generan conflictos porque operan en capas distintas: Sucuri filtra en la red antes del servidor, Solid Security endurece WordPress internamente. Podés tener el WAF de Sucuri bloqueando bots externos y al mismo tiempo usar el 2FA y el cambio de URL de login de Solid Security para proteger el acceso al panel de administración.
La pregunta que sigue naturalmente es: si tengo Sucuri WAF activo, ¿para qué necesito el cambio de URL de login de Solid Security? Igual tiene sentido. Si Sucuri experimenta un downtime, si alguien configura mal las reglas de CloudProxy, o si el ataque viene desde un vector que el WAF no cubre, la segunda capa de Solid Security te protege. Seguridad en capas no es redundancia innecesaria: es profundidad de defensa.
La configuración práctica: el plugin gratuito de Sucuri más Solid Security Pro en WordPress, y el servicio de Sucuri Platform en el DNS. Los tres conviven sin problemas y cubren vectores distintos: red, aplicación y configuración interna. Sobre eso hablamos en diferencias entre firewall perimetral y microsegmentación.
Errores comunes al configurar Sucuri e iThemes Security
- Confundir el plugin gratuito de Sucuri con el WAF completo: el plugin gratuito escanea y alerta, pero el firewall que bloquea tráfico real requiere cambio de DNS y suscripción paga. Muchos sitios tienen el plugin instalado creyendo que tienen protección perimetral cuando no la tienen.
- Deshabilitar XML-RPC sin verificar dependencias: Solid Security tiene un toggle para desactivar XML-RPC. Antes de activarlo, verificá si usás Jetpack, aplicaciones móviles de WordPress, WooCommerce webhooks o integraciones externas que lo requieran. Si lo deshabilitás sin checar, algo deja de funcionar y tardar en encontrar por qué.
- Cambiar la URL de login sin probarla primero: Solid Security permite mover /wp-login.php a cualquier ruta personalizada. Si escribís mal la URL y cerrás la sesión antes de probarla, quedás sin acceso al panel. Siempre abrí la URL nueva en una pestaña de incógnito y confirmá que funciona antes de cerrar la sesión activa.
- Activar Sucuri WAF sin bloquear el acceso directo a la IP del servidor: si el WAF está activo en DNS pero la IP real de tu servidor sigue siendo accesible directamente por HTTP/HTTPS, un atacante que la descubra puede bypassear todo CloudProxy. En hosting con firewall de servidor configurable, restringí el acceso a los rangos de IP de Sucuri solamente.
- Dejar activos los bloqueos de IP de ambos plugins al mismo tiempo durante configuración: si tanto Sucuri como Solid Security tienen reglas de lockout de IPs y estás haciendo pruebas de acceso, podés bloquearte a vos mismo. Desactivá temporalmente el lockout de Solid Security mientras configurás las reglas del WAF.
Preguntas Frecuentes
¿Cuál es la diferencia entre Sucuri e iThemes Security?
Sucuri tiene un WAF cloud: el tráfico pasa por los servidores de CloudProxy antes de llegar a tu WordPress, bloqueando DDoS, bots y ataques a nivel de red. iThemes Security, ahora Solid Security, endurece WordPress a nivel plugin con 2FA, cambio de URL de login, monitoreo de archivos y configuraciones de hardening. Sucuri protege el perímetro externo; Solid Security protege la configuración interna. No se reemplazan: se complementan.
¿Cuál es más barato, Sucuri o iThemes Security?
Solid Security Pro cuesta alrededor de USD 99/año por sitio, con versión gratuita funcional. Sucuri tiene plugin gratuito, pero el WAF real empieza en USD 9.99/mes (solo firewall) o USD 199.99/año en el plan Platform que incluye WAF, CDN y limpieza de malware. Para protección completa, Sucuri es más caro, pero cubre capas que Solid Security no puede ofrecer.
¿Puedo usar Sucuri e iThemes Security juntos?
Sí, y es la combinación más recomendada por la comunidad de seguridad WordPress. No generan conflictos porque operan en capas distintas: Sucuri filtra tráfico a nivel de red antes del servidor, Solid Security endurece la configuración de WordPress internamente. El plugin gratuito de Sucuri y Solid Security Pro conviven sin problemas en la misma instalación.
¿Cuál es mejor para tiendas WooCommerce?
Sucuri es más adecuado para WooCommerce: bloquea intentos de carding en el checkout, absorbe picos de DDoS durante campañas de venta, y el CDN mejora la velocidad de carga de páginas de producto. Los planes Platform de Sucuri incluyen limpieza de malware, útil ante ataques de tipo skimmer de tarjetas. Solid Security complementa bien el hardening interno, pero no reemplaza el WAF cloud para e-commerce con tráfico real.
¿Necesito Sucuri si ya tengo iThemes Security instalado?
Depende del nivel de exposición de tu sitio. Solid Security reduce la superficie de ataque con hardening de login, 2FA y detección de cambios, pero no bloquea ataques a nivel de red ni absorbe tráfico DDoS. Si tu sitio tiene tráfico significativo, procesa transacciones o está en un nicho de alta visibilidad, Sucuri WAF agrega una capa que Solid Security no puede cubrir. Para un blog personal con poco tráfico, Solid Security gratuito suele alcanzar.
Conclusión
La comparativa Sucuri vs iThemes Security plantea una falsa elección. No son alternativas del mismo tipo: Sucuri es un servicio de seguridad perimetral con WAF cloud; Solid Security (ex iThemes Security) es un plugin de hardening que protege WordPress desde adentro. Comparar cuál es «mejor» sin contexto es como preguntar si es preferible tener garita en la entrada o cerradura doble adentro del departamento.
Si tenés que priorizar con presupuesto limitado: para un blog personal o un sitio informativo con bajo tráfico, Solid Security gratuito más el plugin gratuito de Sucuri para alertas es una configuración razonable sin costo. Para cualquier sitio que procese dinero, maneje datos de usuarios o dependa de la disponibilidad para generar ingresos, el WAF cloud de Sucuri cubre los vectores que Solid Security no puede tocar.
La configuración más sólida para 2026: Sucuri Platform Basic más Solid Security Pro. No se solapan, cubren los vectores de ataque más comunes desde direcciones opuestas, y el costo combinado es razonable comparado con lo que cuesta un incidente de seguridad real, sea una infección con skimmer, un DDoS que tira el sitio durante una campaña, o un acceso no autorizado al panel de administración. En seguridad, la profundidad de capas no es un lujo: es lo que separa detectar un intento de tener que limpiar un compromiso.