Sucuri es un Web Application Firewall (WAF) para WordPress que filtra todo el tráfico HTTP antes de que llegue a tu servidor, bloqueando SQL injection, XSS, fuerza bruta y ataques DDoS en la capa de red. Configurarlo toma alrededor de 30 minutos y no requiere tocar el servidor de WordPress.
En 30 segundos
- Sucuri WAF es una solución en nube que intercepta el tráfico antes de llegar a tu servidor WordPress, sin instalar nada crítico en el servidor.
- La configuración requiere cambiar los registros DNS del dominio para apuntar a los servidores de Sucuri (propagación de 24-48 horas).
- El plan Firewall de Sucuri cuesta desde USD 9.99/mes y viene con certificado SSL gratuito incluido.
- El plugin oficial de Sucuri para WordPress conecta el WAF con el panel de WordPress para monitoreo desde el admin.
- Las reglas personalizadas permiten proteger /wp-admin, bloquear países, desafiar con CAPTCHA en wp-login.php y crear listas blancas por IP.
¿Qué es un WAF y por qué lo necesita tu WordPress?
Un Web Application Firewall es una capa de seguridad que se ubica entre el visitante y tu servidor. Todo el tráfico HTTP pasa primero por el WAF, que analiza cada request y decide si lo deja pasar o lo bloquea. Si el request contiene una inyección SQL, un payload de XSS o patrones de fuerza bruta, el WAF lo corta antes de que llegue a WordPress.
La diferencia con un plugin de seguridad tradicional es que el WAF opera fuera del servidor. Ponele que alguien lanza un ataque DDoS de 50.000 requests por segundo contra tu sitio: un plugin como Wordfence procesa esos requests después de que ya llegaron a PHP, quemando recursos del servidor. Un WAF en nube como Sucuri los absorbe en sus propios servidores antes de que tu VPS o hosting vea un solo paquete.
Las amenazas concretas que bloquea un WAF para WordPress incluyen:
- SQL injection hacia wp-login.php, xmlrpc.php y endpoints de la API REST
- Cross-site scripting (XSS) en formularios y parámetros de URL
- Ataques de fuerza bruta contra el panel de administración
- Bots maliciosos y scrapers que consumen ancho de banda
- Intentos de escalación de privilegios vía vulnerabilidades en plugins
- Ataques DDoS volumétricos (capa 3, 4 y 7)
¿Vale la pena el costo? Si tu sitio genera ingresos o maneja datos de usuarios, sí. Si es un blog personal con poco tráfico, probablemente no.
Sucuri vs otras opciones de firewall para WordPress
Antes de entrar en la configuración, conviene tener claro qué estás eligiendo cuando optás por Sucuri y cuándo tendría sentido otra cosa.
| Característica | Sucuri WAF (nube) | Wordfence (plugin) | NinjaFirewall (plugin) |
|---|---|---|---|
| Ubicación del filtrado | Nube (antes del servidor) | En el servidor (PHP) | En el servidor (PHP, antes de WP) |
| Protección DDoS | Sí, absorbe en nube | Limitada | Limitada |
| Impacto en servidor | Mínimo | Alto bajo ataque | Moderado |
| Cambio de DNS necesario | Sí | No | No |
| Precio mínimo | USD 9.99/mes | Gratis (versión básica) | USD 34.90/año |
| CDN incluido | Sí | No | No |
| SSL incluido | Sí (Let’s Encrypt) | No | No |
| Reglas personalizadas | Sí, interfaz visual | Sí, pero complejo | Sí, avanzado |
El talón de Aquiles de Sucuri es el cambio de DNS: tenés que apuntar tu dominio a los servidores de Sucuri, lo que trae una ventana de propagación de 24-48 horas. Para sitios de e-commerce o servicios críticos, ese downtime potencial hay que planearlo. Wordfence gratis zafa si el sitio tiene poco tráfico y no podés justificar el gasto mensual. NinjaFirewall tiene una arquitectura interesante porque intercepta antes de que WordPress cargue, pero sigue siendo en el servidor.
Sucuri tiene sentido cuando el tráfico es alto, cuando ya tuviste incidentes de seguridad, o cuando necesitás la combinación WAF + CDN + monitoreo en una sola solución.
Requisitos previos y planificación
Lo que necesitás antes de empezar:
- Acceso al panel de control de tu registrador de dominios (donde podés editar registros DNS)
- Una cuenta en Sucuri con plan Firewall (desde USD 9.99/mes) o superior
- Acceso de administrador a WordPress
- Si usás SSL personalizado: tener el certificado y la clave privada disponibles
Lo que NO necesitás: acceso SSH al servidor, permisos de root, ni tocar ningún archivo del servidor WordPress. La configuración completa se hace desde el dashboard de Sucuri y el panel de DNS del dominio. El tiempo estimado es 30 minutos de configuración activa, más 24-48 horas de propagación DNS que transcurren solas. Complementá con comparación entre Sucuri y Patchstack.
Si tu sitio está hosteado en donweb.com, los registros DNS se editan desde el panel de cliente en la sección de dominios.
Paso 1: Crear cuenta en Sucuri y agregar dominio
Entrá a dashboard.sucuri.net y creá tu cuenta. Una vez dentro, el proceso para agregar tu sitio es directo:
- Hacé clic en «Add Site» en el panel principal
- Ingresá el dominio exacto (con o sin www, Sucuri maneja ambos)
- Seleccioná el plan (Basic Firewall a USD 9.99/mes, Pro a USD 19.98/mes, Business a USD 299.99/año)
- Completá el pago y el sitio aparece en tu dashboard
Acá viene lo importante que mucha gente ignora: cuando el sitio se agrega, Sucuri activa algunas opciones de seguridad por defecto que pueden generar falsos positivos en sitios con e-commerce o formularios complejos. En la configuración inicial, desactivá temporalmente «Aggressive DDoS Protection» y «Block Suspicious Crawlers» hasta confirmar que todo funciona bien. Podés activarlos después.
El dashboard te muestra los datos DNS que vas a necesitar en el paso siguiente: la IP de Sucuri a la que tenés que apuntar y los servidores de nombre alternativos.
Paso 2: Cambiar DNS y apuntar el dominio a Sucuri
Este es el paso que más confunde. Lo que hacés es cambiar el registro A de tu dominio (el que dice «dominio.com apunta a IP X.X.X.X») para que apunte a los servidores de Sucuri en vez de a tu servidor real. Sucuri recibe el tráfico, lo filtra, y reenvía las requests limpias a tu servidor original.
En el panel de DNS de tu registrador:
- Encontrá el registro A del dominio raíz (@) y el subdominio www
- Cambiá la IP actual por la IP de Sucuri que aparece en tu dashboard
- El TTL recomendado es 300 segundos (5 minutos) para que los cambios propaguen más rápido
- Guardá los cambios
Para verificar que el cambio propagó podés usar dig dominio.com A desde la terminal, o herramientas online como whatsmydns.net. Si la IP que devuelve coincide con la de Sucuri, el tráfico ya está pasando por el WAF.
La propagación DNS toma entre 1 hora y 48 horas dependiendo del TTL previo que tenía el registro. Si el TTL anterior era de 86400 (24 horas), ese es el tiempo de espera. La próxima vez, bajalo a 300 antes de hacer cambios.
Paso 3: Configurar el certificado SSL
Cuando el tráfico pasa por Sucuri, el SSL termina en los servidores de Sucuri. Esto significa que necesitás un certificado en el WAF, no solo en tu servidor.
Sucuri emite certificados Let’s Encrypt automáticamente sin que tengas que hacer nada. Una vez que el DNS propaga y Sucuri detecta que el tráfico ya pasa por sus servidores, el certificado se genera y activa solo en un par de minutos.
Si tenés un certificado comercial (EV o wildcard), podés subirlo en Settings → SSL Certificate dentro del dashboard de Sucuri. Ahí ingresás el archivo del certificado y la clave privada. La ventaja de los certificados comerciales sobre Let’s Encrypt es principalmente visual (el candado verde con nombre de empresa en EV), no técnica en cuanto a seguridad. Te puede servir nuestra cobertura de protección específica para tiendas WooCommerce.
En WordPress, verificá que FORCE_SSL_ADMIN esté en true en wp-config.php y que el sitio esté configurado con HTTPS en Ajustes → General. Si usás LiteSpeed Cache u otro plugin de caché, actualizá la URL del sitio para evitar redirecciones circulares.
Paso 4: Crear reglas personalizadas y listas blancas
Acá está la diferencia real entre tener Sucuri configurado y tenerlo configurado bien. Las reglas por defecto cubren los ataques más comunes, pero la protección seria viene de la personalización.
En el dashboard: Firewall → Settings → Rule Sets.
Whitelist de IPs propias
Lo primero que tenés que hacer es agregar tu IP (o el rango de IPs de tu empresa) a la lista blanca. Si Sucuri detecta actividad sospechosa desde tu IP mientras trabajás en el sitio y te bloquea, vas a tener un momento incómodo. En Security → Whitelist IP, agregá tu IP pública. Si tu IP cambia frecuentemente, considerá agregar una VPN con IP fija o el rango de red de tu empresa.
Proteger wp-admin con restricción por IP
Podés configurar Sucuri para que solo ciertas IPs puedan acceder a /wp-admin. En Access Control → URL Whitelist, creás una regla que permita /wp-admin exclusivamente a tu IP. Todo el resto recibe un 403. Esto elimina de cuajo los ataques de fuerza bruta contra el panel de administración, sin instalar ningún plugin adicional.
CAPTCHA en wp-login.php
Para wp-login.php (que no podés restringir por IP porque a veces necesitás loguearte desde distintos lugares), configurá el desafío de CAPTCHA. En Security Level, el nivel «High» activa automáticamente un CAPTCHA para requests sospechosas hacia el login. El nivel «Paranoid» lo activa para todos, lo que puede molestar a usuarios legítimos.
Bloqueo por país
Si tu sitio es local (Argentina, Latinoamérica) y ves en los logs que el 90% del tráfico malicioso viene de tres países específicos, podés bloquearlos directamente. En Access Control → Geo Blocking, seleccionás los países. Eso sí: revisá que no estés bloqueando accidentalmente visitantes legítimos ni Googlebot (que puede pasar por distintos países).
Bloqueo de bots específicos
En Advanced Headers podés crear reglas basadas en User-Agent. Ponele que hay un bot malicioso conocido que usa el agente «BadBot/2.0»: creás una regla que bloquee cualquier request con ese agente. También podés bloquear rangos de IP enteros de hosting abusivo (ranges de ASNs conocidos por spam).
Paso 5: Conectar el plugin de WordPress con Sucuri WAF
El plugin oficial de Sucuri Security (disponible en el repositorio de WordPress) permite ver los eventos del WAF directamente desde el admin de WordPress, sin tener que salir a dashboard.sucuri.net. En cómo se compara con Wordfence profundizamos sobre esto.
La instalación es la de siempre: Plugins → Agregar nuevo → buscar «Sucuri Security» → Instalar → Activar. Después, en el menú Sucuri Security → Firewall (WAF) vas a ver un campo para la API Key.
Para obtener la API Key: en dashboard.sucuri.net, entrá al sitio que configuraste, y en la sección Firewall encontrás la API Key generada automáticamente. La copiás y la pegás en WordPress.
Una vez conectado, desde el admin de WordPress podés ver:
- Requests bloqueadas en tiempo real
- IPs que más ataques generan
- Tipos de ataque (SQLi, XSS, fuerza bruta)
- Alertas de cambios en archivos del sistema
- Integridad de archivos del core de WordPress
El plugin también tiene funciones de auditoría de archivos independientes del WAF, que son útiles para detectar modificaciones no autorizadas en el servidor (spoiler: si llegaron a modificar archivos, el WAF debería haberlo prevenido, pero es bueno tener la red extra).
Monitoreo, optimización y mantenimiento
Configurar Sucuri no es un set and forget. La primera semana después de activarlo, revisá los logs todos los días.
En el dashboard de Sucuri, la sección Audit Logs muestra cada request bloqueada con su IP, user agent, el tipo de ataque detectado y la regla que lo bloqueó. Si ves requests legítimas siendo bloqueadas (falsos positivos), necesitás ajustar las reglas. Los casos más comunes de falsos positivos son: plugins de formularios con campos que parecen SQL, sistemas de pago que generan tokens complejos en los parámetros, o herramientas de monitoreo propias.
¿Cuánto afecta al rendimiento? Prácticamente nada, y en muchos casos lo mejora. El WAF de Sucuri incluye CDN con nodos distribuidos globalmente, lo que significa que los assets estáticos se sirven desde el nodo más cercano al visitante. Según la propia documentación de Sucuri, el tiempo de carga puede reducirse entre un 20% y un 60% dependiendo de la ubicación del servidor original y del visitante.
Las reglas del WAF se actualizan automáticamente desde Sucuri cuando aparecen nuevas vulnerabilidades. Cuando sale un CVE crítico para WordPress o un plugin popular, Sucuri despliega la regla de virtual patching en horas, antes de que la mayoría de los sitios tenga el update instalado. Eso es el valor real del servicio gestionado.
Para el mantenimiento mensual: revisá los logs, confirmá que no hay falsos positivos recurrentes, y chequeá si las reglas personalizadas siguen siendo necesarias. Las IPs que bloqueaste manualmente de países específicos pueden tener rangos que cambian.
Errores comunes al configurar Sucuri WAF
1. No agregar la IP propia a la whitelist antes de activar reglas agresivas. El resultado: te bloqueás a vos mismo intentando acceder a wp-admin. La solución es siempre whitelist primero, reglas agresivas después. Si ya te bloqueaste, podés acceder temporalmente a la IP de tu servidor directamente (bypaseando el WAF) para desactivar la regla. Para más detalles técnicos, mirá estrategias de seguridad en capas.
2. Cambiar el DNS sin bajar el TTL previamente. Si el TTL estaba en 86400 (el default de muchos registradores), el cambio tarda 24 horas en propagar aunque vos lo hayas hecho en 5 minutos. La próxima vez: bajá el TTL a 300-600 segundos un día antes del cambio.
3. Activar protección DDoS agresiva en e-commerce. La protección DDoS agresiva de Sucuri puede desafiar con CAPTCHA a bots de pago (como los que usan algunas pasarelas de pago o sistemas de afiliados). Si tenés WooCommerce con pasarelas de pago externas, probá con el nivel «Medium» primero y observá si las transacciones funcionan bien antes de subir la agresividad.
4. No configurar el «Trusted Proxy» en WordPress. Cuando el tráfico pasa por Sucuri, las IPs de los visitantes que WordPress ve son las IPs de Sucuri, no las reales. Si usás plugins que registran IPs (seguridad, analítica), necesitás configurar WordPress para que confíe en los headers de proxy de Sucuri. Esto se hace agregando la IP de Sucuri como trusted proxy en wp-config.php o usando un plugin de configuración de proxy.
5. Esperar que el WAF reemplace al backup. Un WAF bloquea ataques, no restaura un sitio comprometido. Seguí teniendo backups automáticos independientes del WAF. Si alguien encuentra un vector de ataque que el WAF no detecta (siempre existe esa posibilidad), el backup es lo que te salva.
Preguntas Frecuentes
¿Cómo configuro Sucuri WAF en mi sitio WordPress?
Creás una cuenta en dashboard.sucuri.net, agregás tu dominio al plan Firewall (desde USD 9.99/mes), y cambiás los registros A del DNS para apuntar a los servidores de Sucuri. La propagación toma 24-48 horas. Después instalás el plugin oficial de Sucuri en WordPress y conectás con la API Key del dashboard. El proceso completo lleva unos 30 minutos de trabajo activo.
¿Cuál es la diferencia entre un WAF en nube y un plugin de firewall?
Un WAF en nube como Sucuri filtra el tráfico antes de que llegue a tu servidor: los ataques no consumen recursos de hosting. Un plugin como Wordfence filtra en el servidor, lo que significa que los recursos se queman aunque el ataque sea bloqueado. Bajo ataques DDoS volumétricos, un plugin no protege el servidor porque el tráfico ya llegó.
¿Cómo bloqueo ataques DDoS con Sucuri?
Sucuri absorbe el tráfico de DDoS en sus propios servidores de red distribuida antes de que llegue al tuyo. En el dashboard, activando el modo «High» o «Paranoid» en Security Level, Sucuri desafía con CAPTCHA o bloquea directamente el tráfico volumétrico sospechoso. Para ataques de capa 7 (HTTP flood), las reglas de rate limiting por IP y el bloqueo geográfico complementan la protección base.
¿Cuánto cuesta Sucuri Firewall y qué incluye?
El plan Basic Firewall cuesta USD 9.99/mes e incluye WAF, CDN y certificado SSL gratuito. El plan Pro (USD 19.98/mes) suma protección DDoS mejorada y soporte prioritario. El plan Business (USD 299.99/año) incluye además respuesta a incidentes y limpieza de malware. Todos los planes incluyen actualizaciones automáticas de reglas del WAF.
¿Qué reglas esenciales necesita un WAF para WordPress?
Las reglas críticas son: whitelist de IP propia (para no bloquearte), restricción de acceso a /wp-admin por IP o CAPTCHA en wp-login.php, bloqueo de xmlrpc.php si no lo usás, y rate limiting para prevenir fuerza bruta. Sucuri aplica reglas genéricas contra SQLi y XSS automáticamente. Las reglas de bloqueo por país y por User-Agent son opcionales y dependen del perfil de tráfico de cada sitio.
Conclusión
Configurar el WAF WordPress Sucuri es un proceso de 30 minutos que cambia el modelo de seguridad del sitio: de reaccionar a ataques que ya llegaron al servidor, a bloquearlos antes de que existan desde la perspectiva de tu hosting.
El cambio de DNS es el único punto de fricción real, y la propagación de 24-48 horas es el costo de entrada. Una vez activo, el mantenimiento es bajo: Sucuri actualiza sus reglas automáticamente cuando aparecen CVEs nuevos, y las reglas personalizadas que configuraste la primera vez raramente necesitan ajustes.
Si tu WordPress genera ingresos, maneja datos de clientes, o simplemente no podés permitirte horas de downtime por un ataque, el costo de USD 9.99/mes se justifica. Si tu sitio ya tuvo incidentes de malware o ataques de fuerza bruta, esto debería haber estado configurado desde antes.