Tu web no solo se rompe cuando “se cae”. A veces sigue online, pero carga mal, devuelve errores, muestra cambios raros, consume recursos fuera de lo normal o empieza a recibir tráfico sospechoso. En una pyme eso suele detectarse tarde: cuando un cliente llama, cuando el formulario deja de entrar o cuando Google ya ha visto algo raro. En esta guía tienes un kit gratuito y realista para vigilar disponibilidad, cambios sospechosos, reputación, ataques básicos y señales tempranas de compromiso sin montar un SOC ni contratar herramientas enterprise.
1. El problema real: tu web puede fallar antes de “caerse”
En muchas pymes la web se da por “bien” mientras abra en el navegador del gerente. Ese criterio no sirve. Una web puede responder en tu oficina y fallar desde fuera. Puede cargar la home, pero no el formulario. Puede verse normal, pero tener archivos alterados. Puede estar online, pero ser atacada por bots, intentos de login, scraping agresivo o picos de peticiones que degradan el servicio.
Hay tres escenas muy típicas:
- La caída silenciosa: la web devuelve error 500 durante 20 minutos y nadie del equipo lo ve hasta que se pierde una oportunidad comercial.
- El cambio raro: una página aparece con enlaces extraños, redirecciones o contenido modificado y se detecta tarde porque nadie vigila integridad ni reputación.
- El ataque que “no parece ataque”: no hay ransomware ni pantallazo dramático, pero sí miles de peticiones, intentos de acceso, abuso del login o exploración automática.
2. Qué significa monitorizar caídas y ataques de forma útil
Monitorizar bien no es instalar seis herramientas y olvidarte. Es responder a cuatro preguntas simples:
- ¿Mi web responde desde fuera?
- ¿Se ha modificado algo crítico sin que yo lo esperara?
- ¿Estoy viendo señales de abuso, intento de intrusión o saturación?
- ¿Quién se entera y por dónde llega la alerta?
Para una pyme con WordPress o web corporativa normal, lo razonable no es perseguir “detección total”. Lo sensato es montar una capa básica que te avise pronto, te permita validar rápido y te dé margen para actuar antes de que el problema escale.
- Activa monitorización externa de uptime con alertas por email o Telegram.
- Pon una capa perimetral gratuita delante de la web para reducir picos y ruido.
- Vigila integridad o cambios sospechosos en WordPress o en archivos clave del servidor.
3. Las 6 herramientas gratis recomendadas
He elegido herramientas que cubren funciones distintas para no repetir lo ya visto en artículos de phishing, WiFi, antivirus, protección general o escaneo de puertos. Aquí el foco es monitorización operativa y defensiva de tu web: saber si cae, si cambia, si recibe tráfico dañino o si hay señales que merecen revisión.
1. Uptime Kuma
Ideal para pymes que quieren controlar disponibilidad con panel propio y sin depender por completo de terceros.
Uptime Kuma es una herramienta de monitorización autoalojada enfocada a comprobar si una web, servicio HTTP, puerto TCP, DNS o certificado sigue respondiendo. Su repositorio oficial destaca que permite monitorizar HTTP(S), TCP, DNS, certificados y enviar notificaciones a múltiples servicios. :contentReference[oaicite:0]{index=0}
Lo útil para una pyme no es solo el “está caído / no está caído”, sino que puedes vigilar:
- Home pública
- URL del formulario de contacto
- Panel de acceso o intranet
- Caducidad del certificado SSL
- Respuesta por palabra clave, para detectar páginas que responden pero están rotas
Cuándo usarlo: si tienes una VPS, un pequeño servidor o alguien que te lo pueda desplegar en Docker. Si quieres independencia y más control, es muy buena base.
Límite: si no tienes dónde alojarlo, quizá te conviene empezar por una opción SaaS gratuita y luego pasar a Kuma.
2. Better Stack Uptime
Ideal si quieres empezar hoy mismo sin montar nada y recibir alertas desde fuera.
Better Stack ofrece en su plan gratuito monitores, heartbeats y página de estado, con checks periódicos y opciones de alertado. Su página oficial indica que el plan gratuito incluye 10 monitores, 10 heartbeats y una status page. :contentReference[oaicite:1]{index=1}
¿Por qué es útil aunque ya tengas Uptime Kuma? Porque es monitorización externa real. Si tu servidor entero cae, Uptime Kuma alojado en el mismo entorno también podría desaparecer. Better Stack te avisa desde fuera.
- Comprueba disponibilidad pública de la web
- Sirve para saber si el problema es local o general
- Te permite crear una página de estado simple para clientes o equipo
- Es muy rápido de poner en marcha
Cuándo usarlo: como primera capa de vigilancia externa, incluso si luego montas algo más técnico.
Límite: no sustituye la visibilidad interna del servidor ni la revisión de cambios en archivos.
3. Cloudflare Free
Ideal para reducir ruido, ganar visibilidad perimetral y absorber parte del tráfico agresivo antes de que llegue al hosting.
Cloudflare indica en su plan gratuito que ofrece SSL, CDN y protección DDoS básica para proteger y acelerar sitios web. :contentReference[oaicite:2]{index=2}
Para una pyme, eso se traduce en tres ventajas inmediatas:
- Más resistencia ante picos de tráfico o ruido automatizado
- Visibilidad básica del tráfico y eventos que no ves en WordPress
- Mejor rendimiento al cachear ciertos contenidos y descargar al servidor
No es un SIEM, no es un SOC y no te va a contar toda la historia. Pero como capa perimetral gratis, es de las decisiones con mejor relación esfuerzo/impacto.
Cuándo usarlo: casi siempre que tu web sea pública y no tengas otra protección delante.
Límite: configurarlo mal puede complicar cachés, DNS o reglas si el equipo toca sin criterio.
4. Wordfence Free
La opción más práctica si tu web corporativa funciona con WordPress y quieres monitorizar señales de ataque desde dentro.
Wordfence incluye firewall de endpoint, escaneo de malware y funciones de seguridad de acceso. Su ficha oficial en WordPress.org y la web del producto destacan escaneo de malware, comprobación de integridad de archivos del core, temas y plugins, vista de tráfico y protección del login. La versión gratuita recibe reglas y firmas con retraso respecto a premium. :contentReference[oaicite:3]{index=3}
¿Qué aporta en este artículo? No tanto “limpiar” como vigilar:
- Intentos de login y abuso de accesos
- Cambios sospechosos en archivos comparados con el repositorio oficial
- Señales de malware o redirecciones maliciosas
- Tráfico que merece revisión
Cuándo usarlo: si usas WordPress y quieres una capa defensiva rápida, práctica y asumible.
Límite: en la versión gratis no debes esperar la misma inmediatez de firmas que en la premium. Aun así, para una pyme pequeña es una base muy útil.
5. Sucuri SiteCheck
Perfecta como comprobación externa de reputación, malware visible, errores y señales que ya están expuestas públicamente.
Sucuri SiteCheck es un escáner gratuito que revisa una URL en busca de malware conocido, estado en blocklists, errores del sitio, software obsoleto y código malicioso visible desde fuera. :contentReference[oaicite:4]{index=4}
Esto no reemplaza un análisis interno del servidor. Pero sí te sirve para una pregunta muy valiosa: “¿Desde Internet ya se ve algo raro?”
- Úsalo cuando sospeches redirecciones o inyecciones visibles
- Úsalo tras una actualización problemática
- Úsalo como revisión periódica rápida de reputación externa
Cuándo usarlo: como chequeo externo semanal o tras incidencias.
Límite: si el malware no es visible externamente o está muy oculto, puede no detectarlo.
6. Wazuh
La opción más seria de esta lista si quieres vigilancia de logs, eventos y cambios de archivos en servidor o varios sistemas.
Wazuh se presenta como una plataforma open source de seguridad que unifica capacidades tipo XDR/SIEM y ofrece monitorización de integridad de archivos, análisis de eventos y detección de amenazas. Su documentación explica que el módulo FIM monitoriza archivos y directorios y alerta cuando se crean, modifican o eliminan elementos vigilados. :contentReference[oaicite:5]{index=5}
Traducido a pyme: si alguien toca archivos sensibles del servidor, cambia una configuración crítica o aparecen eventos anómalos, Wazuh puede ayudarte a verlo.
- Vigilar cambios en directorios web
- Revisar logs del servidor
- Centralizar alertas si tienes más de una máquina
- Ganar trazabilidad cuando la cosa se complica
Cuándo usarlo: cuando ya quieres subir un escalón y no limitarte al “ping” de la web.
Límite: exige más criterio técnico que el resto. No es para instalarlo deprisa y dejarlo abandonado.
4. Tabla comparativa rápida
| Herramienta | Qué vigila mejor | Tipo | Tiempo inicial | Prioridad | Para quién encaja |
|---|---|---|---|---|---|
| Uptime Kuma | Disponibilidad, SSL, checks HTTP/TCP/DNS | Self-hosted | 30-60 min | P1 | Pyme con servidor o apoyo técnico |
| Better Stack Uptime | Caídas externas, status page, alertas rápidas | SaaS | 10-20 min | P1 | Quien quiere empezar hoy sin montar nada |
| Cloudflare Free | Perímetro, DDoS básico, visibilidad y rendimiento | Servicio perimetral | 20-45 min | P1 | Casi cualquier web pública |
| Wordfence Free | Login, tráfico, malware, integridad en WordPress | Plugin WordPress | 20-30 min | P1 | Webs WordPress |
| Sucuri SiteCheck | Malware visible, blocklists, revisión externa | Escáner web | 5-10 min | P2 | Chequeos rápidos o revisiones tras cambios |
| Wazuh | Logs, eventos, integridad de archivos, correlación | Open source SIEM/XDR | 60-120 min | P2 | Pyme con algo más de madurez técnica |
5. Plan práctico en 1 mañana para implantar un mínimo viable
No intentes desplegarlo todo a la vez. La clave es ganar visibilidad útil cuanto antes.
Bloque 1 · 08:30 a 09:15
- Define 3 URL críticas: home, contacto, landing o login.
- Activa Better Stack o Uptime Kuma.
- Configura alertas al email del responsable y a Telegram o Slack si lo usáis.
Bloque 2 · 09:15 a 10:00
- Activa Cloudflare Free delante del dominio.
- Comprueba DNS, SSL y que la web carga igual que antes.
- Haz una prueba básica desde móvil en 4G y desde navegador privado.
Bloque 3 · 10:00 a 10:45
- Si es WordPress, instala Wordfence y lanza escaneo inicial.
- Revisa usuarios administradores, últimos plugins tocados y tráfico extraño.
- Anota cualquier cambio que no puedas justificar.
Bloque 4 · 10:45 a 11:15
- Pasa Sucuri SiteCheck a la web pública.
- Comprueba si aparecen alertas, blocklists o señales raras.
- Si tienes servidor propio, planifica Wazuh o al menos FIM/logs para la siguiente fase.
6. Señales de alerta que no debes ignorar
- La home carga, pero el formulario deja de funcionar.
- Suben los errores 403, 404 o 500 sin explicación clara.
- Aparecen usuarios administradores nuevos o roles cambiados.
- Hay cambios en archivos, plugins o temas que nadie del equipo reconoce.
- Tu web empieza a redirigir a URLs extrañas o muestra spam en páginas no previstas.
- El hosting te avisa de consumo anómalo de CPU, RAM o procesos.
- Recibes picos de intentos de login o acceso a rutas que no usas.
- Google Search Console o navegadores muestran advertencias inesperadas.
7. Errores comunes que te dejan ciego
- Monitorizar solo la home y no los puntos críticos que convierten.
- Recibir alertas en un correo que nadie revisa fuera de horario.
- No distinguir entre monitorización externa e interna.
- Pensar que tener hosting gestionado equivale a vigilancia activa.
- Instalar un plugin de seguridad y no revisar nunca sus avisos.
- No saber quién es el responsable cuando salta una alerta.
- Dejar reglas, caché o DNS tocados sin documentar los cambios.
8. Qué combinación elegir según tu caso
Caso A · Web corporativa pequeña en WordPress
Mezcla recomendada: Better Stack + Cloudflare Free + Wordfence Free + Sucuri SiteCheck. Es la combinación más rápida y con mejor equilibrio entre facilidad, cobertura y coste cero.
Caso B · Web en hosting con apoyo técnico y varias URLs críticas
Mezcla recomendada: Uptime Kuma + Cloudflare Free + Sucuri SiteCheck. Añade Wordfence si hay WordPress. Uptime Kuma te da control fino y múltiples checks sobre la lógica real del sitio.
Caso C · Servidor propio o varios activos web
Mezcla recomendada: Uptime Kuma + Cloudflare Free + Wazuh. Aquí ya no solo vigilas disponibilidad: empiezas a ver eventos, archivos y cambios internos con criterio.
9. Checklist descargable para copiar en Google Docs
Checklist · Monitorización básica de caídas y ataques a la web
- He definido las 3-5 URLs críticas del negocio.
- He activado al menos una monitorización externa de uptime.
- He probado que la alerta llega por email y otro canal secundario.
- He revisado la caducidad del certificado SSL.
- He puesto Cloudflare Free o una capa perimetral equivalente.
- He validado que DNS, caché y SSL funcionan tras el cambio.
- Si uso WordPress, he instalado Wordfence y ejecutado un escaneo inicial.
- He revisado usuarios admin, plugins recientes y cambios no esperados.
- He pasado Sucuri SiteCheck tras la implantación.
- He definido quién responde si hay caída o señal de ataque.
- He documentado dónde mirar: hosting, Cloudflare, Wordfence, uptime.
- He programado una revisión semanal de 15-20 minutos.
10. Rutina semanal de 20 minutos para no perder el control
- Lunes: revisar alertas de disponibilidad y falsos positivos.
- Martes: comprobar usuarios admin y plugins o cambios recientes.
- Miércoles: revisar picos de tráfico, login o comportamiento raro.
- Jueves: pasar chequeo externo rápido y validar formularios.
- Viernes: documentar incidencias y dejar responsables claros.
La meta no es vivir pendiente del panel. La meta es detectar antes, reaccionar con orden y no enterarte por un cliente enfadado.
11. Preguntas frecuentes
¿Con una sola herramienta basta?
No. Una herramienta puede cubrir disponibilidad, pero no cambios de archivos, reputación externa o señales de abuso. Lo mínimo razonable es combinar monitorización externa con una capa perimetral y otra de visibilidad interna.
¿Cloudflare sustituye a un plugin de seguridad en WordPress?
No. Cloudflare protege y filtra parte del tráfico antes de llegar al servidor, pero no te da por sí sola control detallado sobre usuarios, plugins, integridad del core o señales internas típicas de WordPress.
¿Wordfence gratis sirve de verdad?
Sí, sobre todo como base de vigilancia y endurecimiento inicial en WordPress. Solo debes tener claro que la versión gratuita no recibe la misma inmediatez de reglas y firmas que la premium.
¿Uptime Kuma o Better Stack?
Si quieres rapidez y cero montaje, Better Stack. Si quieres control, panel propio y más autonomía, Uptime Kuma. Muchas pymes usan ambos: uno externo y otro autoalojado.
¿Sucuri SiteCheck limpia una web hackeada?
No. Es una herramienta de revisión externa. Sirve para detectar señales visibles, reputación o malware expuesto, pero no reemplaza una limpieza interna ni el análisis del servidor.
¿Wazuh es demasiado para una pyme?
Depende. Para una pyme muy pequeña puede ser más de lo necesario al inicio. Para una pyme con varios activos o servidor propio, puede ser una buena base open source para ganar trazabilidad.
¿Qué URL debo monitorizar además de la home?
Como mínimo, una página crítica que cargue lógica real: formulario de contacto, área privada, página de presupuesto o una URL que obligue a comprobar base de datos y aplicación.
¿Cuándo debo preocuparme por un pico de tráfico?
Cuando el pico se acompaña de lentitud, errores, intentos repetidos de login, acceso a rutas raras o consumo anómalo del hosting. El tráfico alto no siempre es bueno.
¿Esto evita todos los ataques?
No. Esto reduce ceguera operativa. Detectar antes y reaccionar mejor ya es una mejora enorme en una pyme, pero no sustituye mantenimiento, hardening, copias y revisión técnica periódica.
12. Conclusión
La mayoría de webs de pyme no necesitan una pila enterprise para empezar a vigilar caídas y ataques. Necesitan algo más básico y más importante: enterarse a tiempo. Con una combinación sencilla de monitorización externa, capa perimetral y revisión de cambios internos puedes pasar de la improvisación a un mínimo control operativo.
Empieza por lo que te da visibilidad más rápida. Después sube nivel. Lo peligroso no es no tener “la herramienta perfecta”. Lo peligroso es no ver nada hasta que el daño ya está hecho.
