Si tenés un WordPress hace rato, sabés que la seguridad no es algo que se resuelve instalando un plugin y listo. Los ataques no vienen solo del código vulnerable de un theme o un plugin falopa: vienen del tráfico mismo, de bots que escanean vulnerabilidades 24/7, de intentos de fuerza bruta que ni siquiera llegan a tocarte el wp-login porque van directo al servidor. Ahí es donde entra Sucuri, un firewall en la nube que filtra todo antes de que llegue a tu hosting.

Sucuri WordPress es un Web Application Firewall (WAF) que opera como proxy inverso: todo el tráfico HTTP hacia tu dominio pasa primero por los servidores de Sucuri, que analizan cada request, bloquean ataques conocidos y solo dejan pasar lo limpio hacia tu servidor de origen. No es un plugin que instalás y rezás que funcione: es una capa externa que absorbe DDoS, inyecciones SQL, cross-site scripting y forcejeos de fuerza bruta sin que tu servidor se entere.

En 30 segundos

  • Sucuri es un firewall en la nube (WAF) para WordPress que filtra tráfico malicioso en sus servidores, antes de que toque tu hosting.
  • El plan básico arranca en USD 9.99 por mes e incluye WAF, CDN global, SSL gratuito vía Let’s Encrypt y protección anti-DDoS.
  • La configuración inicial lleva menos de una hora: creás la cuenta, cambiás los registros A de tu dominio y en 1 a 48 horas el tráfico ya pasa por Sucuri.
  • No reemplaza un plugin de seguridad, lo complementa: el firewall frena ataques en la nube y el plugin monitorea archivos, integridad y actividad interna.

¿Qué es Sucuri y cómo funciona su WAF en la nube?

El firewall de Sucuri es un proxy inverso que se interpone entre internet y tu servidor. Cuando alguien quiere entrar a tu sitio, el DNS lo manda primero a la IP de Sucuri. Ahí, antes de reenviar el request a tu hosting, el motor de detección revisa si el tráfico tiene pinta de ataque. Si es basura, lo bloquea. Si está limpio, lo deja pasar. Simple, pero efectivo.

A diferencia de un plugin como Wordfence o iThemes Security (que corren dentro de WordPress y dependen de que PHP esté funcionando para frenar algo), Sucuri opera afuera. Esto significa que un DDoS de capa 7 que saturaría tu plan de hosting compartido (esos que prometen «recursos ilimitados» pero te cortan a los 10 minutos) ni siquiera llega a tu servidor. Lo absorbe la infraestructura de Sucuri, que está distribuida en múltiples puntos globales y tiene capacidad para manejar volúmenes que tu VPS de USD 20 no podría ni en pedo.

El servicio incluye además una CDN con nodos en Estados Unidos, Europa y Asia, cachea contenido estático y acelera la entrega. O sea, no solo es seguridad: también es velocidad.

Requisitos previos antes de configurar Sucuri

Arrancar con Sucuri no pide mucho, pero hay tres cosas que sí o sí necesitás tener a mano antes de largarte: Sobre eso hablamos en cómo parchear la CVE de WordPress.

  • Acceso al panel DNS de tu dominio. Vas a cambiar los registros A (raíz y www) por la IP que Sucuri te asigne. Sin esto, no hay firewall que valga.
  • Una cuenta en Sucuri con plan Firewall activo. Los planes arrancan en USD 9.99/mes para el básico, USD 19.99/mes para el Pro (que suma escaneo de malware y soporte prioritario) y USD 69.99/mes para Business (con más frecuencia de escaneo y respuesta ante incidentes).
  • Acceso de administrador a WordPress. Para instalar el plugin complementario y pegar la API Key que conecta tu panel de Sucuri con el dashboard de WordPress.

Lo bueno: no necesitás acceso SSH, ni permisos de root, ni tocar configuraciones de servidor. Si alguna vez administraste un dominio en Donweb o en cualquier registrador, ya tenés todo lo que hace falta. El cambio de DNS se hace desde el panel de control del proveedor de dominio (no del hosting) y no implica migrar archivos ni bases de datos.

Paso a paso para cambiar los DNS y apuntar el dominio a Sucuri

Acá es donde la mayoría se pone nervioso y, te digo la verdad, no hay motivo. El proceso es reversible en minutos si algo sale mal (spoiler: no sale mal). Una vez que creás tu sitio en el dashboard de Sucuri, el sistema te asigna una IP de firewall. Esa IP es la que tenés que poner en los registros A de tu dominio.

Entrás al panel DNS de tu registrador, buscás el registro A que apunta tu dominio raíz (el que dice @ o tu dominio a secas) y cambiás la IP actual por la que te dio Sucuri. Lo mismo para el subdominio www. Poné un TTL de 300 segundos para que la propagación sea más ágil. Si el TTL anterior estaba en 86400 (24 horas), la propagación va a tardar más.

¿Cuánto tarda? Entre 1 y 48 horas según el TTL previo y la zona geográfica. Podés verificar el avance con dig tudominio.com desde la terminal o con herramientas como whatsmydns.net. Mientras la IP no haya propagado, el tráfico sigue yendo directo a tu servidor: cero downtime.

¿Cómo configurar el certificado SSL gratuito de Sucuri?

Apenas el DNS propaga y el tráfico empieza a pasar por Sucuri, el sistema emite un certificado Let’s Encrypt en modo automático. No tenés que tocar nada. Cero configuraciones, cero renovaciones manuales.

Ahora bien, si tenés un certificado SSL pago (un EV, un wildcard, algo que compraste para tu empresa), también podés subirlo manualmente desde Settings → SSL Certificate en el dashboard de Sucuri. Pero para el 90% de los casos, el Let’s Encrypt que viene de fábrica alcanza. Complementá con comparativa entre Sucuri y Patchstack.

Un detalle que mucha gente pasa por alto: después de activar el firewall, fijate en tu wp-config.php que la constante FORCE_SSL_ADMIN esté en true. Si tenés mixed content o redirecciones raras, el problema casi siempre está en la URL del sitio en los ajustes generales de WordPress o en algún hardcode de HTTP en el theme. Revisalo antes de putear a Sucuri.

Reglas de seguridad personalizadas: proteger wp-admin y agregar CAPTCHA

Acá viene lo bueno. El firewall de Sucuri incluye un motor de reglas que te deja afinar la protección según lo que necesites. No es solo prender el WAF y olvidarte: podés configurar capas adicionales que marcan la diferencia entre «tengo un firewall» y «mi wp-admin es una fortaleza».

Para proteger el panel de administración, andá a Access Control → URL Whitelist y restringí /wp-admin a tu IP pública (y a la de tus colaboradores, si los tenés). Cualquier request a esa ruta desde una IP no whitelisteada recibe un 403 automático. Ni siquiera puede intentar loguearse.

Para el wp-login.php, activá el nivel de seguridad «High» o «Paranoid» desde la configuración de protección del dashboard. Esto agrega CAPTCHA automático en la pantalla de login cada vez que alguien intenta acceder desde una IP no reconocida. También podés bloquear países enteros (si tu audiencia es 100% argentina, ¿para qué dejar pasar tráfico de Ucrania o Vietnam?), configurar bloqueo por User-Agent de bots conocidos y whitelistear tu IP para no comerte tus propias reglas mientras administrás.

Cómo conectar el plugin de Sucuri con WordPress

El plugin Sucuri Security se baja directo del repositorio de WordPress, como cualquier otro. Pero ojo: el plugin no es el firewall. El firewall corre en la nube. El plugin es el puente que te deja ver desde el dashboard de WordPress qué está pasando del otro lado.

La conexión se hace con una API Key que obtenés en el panel de Sucuri (Firewall → API Key) y pegás en Ajustes → Firewall (WAF) dentro de la configuración del plugin. Una vez conectado, desde WordPress podés ver las requests bloqueadas, las IPs atacantes, los tipos de ataque más frecuentes y las alertas de integridad de archivos (si alguien tocó un core file, un plugin o un theme sin tu consentimiento). Más contexto en elegir entre Sucuri e iThemes Security.

La integridad de archivos es una de las funciones más subestimadas del plugin: compara el checksum de tus archivos contra los originales del repositorio de WordPress y te avisa si algo cambió. Si un archivo fue modificado y vos no lo hiciste, sabés que hay que investigar. No te dice qué pasó exactamente, pero te da el indicio. Y en seguridad, el timing lo es todo.

Comparativa de planes de Sucuri en 2026

No todos los sitios necesitan lo mismo. Un blog personal con 200 visitas por mes no requiere el mismo nivel de protección que un ecommerce que factura USD 50k mensuales. Sucuri maneja tres planes de firewall y la diferencia de precio se justifica (o no) según lo que necesités.

Característica Básico (USD 9.99/mes) Pro (USD 19.99/mes) Business (USD 69.99/mes)
WAF + CDN
SSL gratuito Sí (Let’s Encrypt) Sí (Let’s Encrypt + soporte para personalizado) Sí (Let’s Encrypt + personalizado prioritario)
Protección DDoS Capa 7 Capa 3, 4 y 7 Capa 3, 4 y 7
Escaneo de malware No incluido Cada 12 horas Cada 30 minutos
Soporte Email (24-48 h) Chat + email (mismo día) Chat + email + teléfono (1 hora)
Sitios 1 1 1
sucuri wordpress diagrama explicativo

El plan Pro es el sweet spot para la mayoría de los sitios que facturan: ya trae escaneo de malware y el soporte responde en el día. El Business se justifica si tu sitio es tu negocio principal y cada hora caído te cuesta plata de verdad.

Errores comunes al configurar Sucuri (y cómo evitarlos)

Después de ayudar a varios colegas a configurar el firewall, vi los mismos tropiezos una y otra vez. Estos son los más frecuentes:

  • Dejar el TTL del DNS en 86400 segundos. Si el día de mañana necesitás cambiar de IP (porque migrás de hosting, por ejemplo), vas a esperar 24 horas para que el cambio propague. Con TTL de 300, son 5 minutos. Cambialo antes de apuntar a Sucuri y ahorrate el dolor de cabeza.
  • No whitelistear tu propia IP en las reglas de acceso. Ponés restricción por país, bloqueás todo el tráfico excepto Argentina y de repente no podés entrar porque estás de viaje en Chile. Whitelisteate vos primero, después poné las restricciones.
  • Creer que Sucuri reemplaza las buenas prácticas de seguridad. El firewall frena ataques externos, pero si tenés un plugin vulnerable con una puerta trasera, Sucuri no va a parchearlo. No dejes de actualizar WordPress, themes y plugins, y no instales software de fuentes dudosas.
  • No configurar el CAPTCHA hasta que ya te están atacando. El primer intento de fuerza bruta que llega (porque no tenías el nivel alto activado) ya te expuso. El CAPTCHA en wp-login.php se configura en caliente, pero mejor hacerlo en frío, antes del ataque.

Preguntas Frecuentes

¿Cómo instalar Sucuri en WordPress?

No se «instala» Sucuri en WordPress en el sentido tradicional. El firewall se configura desde el panel de Sucuri apuntando los registros A de tu dominio a la IP del WAF. Luego, como complemento, instalás el plugin gratuito Sucuri Security desde el repositorio de WordPress y lo conectás con la API Key que aparece en tu dashboard de Sucuri.

¿Cuánto tarda la propagación DNS al usar Sucuri?

Depende del TTL que tuvieras configurado antes del cambio. Si cambiaste el TTL a 300 segundos con anticipación, la propagación puede completarse en minutos. Si el TTL anterior era de 86400 (24 horas), podés esperar hasta 48 horas en algunas zonas. Verificá el estado con dig o whatsmydns.net. Esto se conecta con lo que analizamos en limpiar malware con MalCare o Sucuri.

¿Sucuri incluye certificado SSL gratis?

Sí, Sucuri emite certificados Let’s Encrypt de forma automática ni bien el DNS propaga y el tráfico empieza a pasar por el firewall. No requiere configuración manual. Si tenés un certificado SSL pago, podés subirlo manualmente en Settings → SSL Certificate.

¿Qué diferencia hay entre Sucuri y un plugin de seguridad?

Un plugin de seguridad corre dentro de WordPress y depende de que el CMS esté funcionando para frenar ataques. Sucuri es un firewall externo (proxy inverso) que filtra el tráfico malicioso antes de que llegue al servidor. Se complementan: el WAF frena ataques en la nube, el plugin monitorea archivos y detecta cambios internos.

¿Cómo proteger wp-admin con Sucuri?

Desde Access Control → URL Whitelist, restringís el acceso a /wp-admin por IP. Solo las IPs que vos definas pueden entrar al panel. Además, configurás el nivel de seguridad «High» o «Paranoid» para activar CAPTCHA automático en wp-login.php y bloquear intentos de fuerza bruta desde IPs no reconocidas.

Conclusión

Un WAF en la nube como Sucuri es la diferencia entre dormir tranquilo y despertarte un lunes con el sitio redirigiendo a una farmacia online tailandesa. El setup inicial toma menos de una hora y, una vez que está andando, no requiere mantenimiento más allá de revisar las alertas que el plugin te tira en el dashboard de WordPress.

Si tu sitio es solo un blog personal, capaz no justifica el gasto. Pero si facturás con WordPress —ya sea un ecommerce, una membresía o un SaaS—, los USD 9.99 del plan básico son una fracción de lo que te costaría limpiar un sitio infectado. Y ni hablemos de la reputación.

El combo ideal: firewall en la nube (Sucuri) + buenas prácticas (actualizaciones, backups, contraseñas fuertes) + hosting que no te deje a gamba cuando el firewall no puede absorber todo. Porque el WAF filtra, pero si tu servidor de origen es una carreta, el cuello de botella está en otro lado.

Fuentes

Categorizado en:

Etiquetado en:

, , , ,