Cómo proteger WordPress

Medidas concretas para blindar tu WordPress frente a las amenazas más comunes

10 min

WordPress alimenta más del 40% de la web, lo que lo convierte en el objetivo principal de ataques automatizados. La mayoría de sitios WordPress comprometidos no fueron víctimas de ataques sofisticados, sino de plugins desactualizados, contraseñas débiles o configuraciones por defecto que nunca se cambiaron.

La buena noticia es que proteger WordPress no requiere ser experto en ciberseguridad. Con una combinación de actualizaciones disciplinadas, configuración correcta y herramientas adecuadas, puedes reducir la superficie de ataque de forma drástica.

Mantén todo actualizado siempre

Las actualizaciones de WordPress core, plugins y temas no son solo funcionales: son parches de seguridad. Cada versión corrige vulnerabilidades conocidas que los atacantes explotan activamente. Según WPScan, más del 90% de las vulnerabilidades de WordPress provienen de plugins y temas, no del core.

Activa las actualizaciones automáticas del core y evalúa hacerlo también para plugins de confianza. Para plugins críticos o personalizados, aplica actualizaciones en un entorno de staging antes de producción. Elimina cualquier plugin o tema que no estés utilizando activamente.

Plugins de seguridad esenciales

Un plugin de seguridad bien configurado aporta capas de protección que WordPress no incluye por defecto. No necesitas instalar cinco plugins diferentes: uno completo y bien mantenido es suficiente.

  • Wordfence: firewall de aplicación web integrado, escaneo de malware y protección contra fuerza bruta
  • Sucuri Security: monitorización de integridad de archivos, auditoría de actividad y firewall DNS/CDN
  • iThemes Security: hardening automático, detección de cambios en archivos y protección de login
  • WP Activity Log: registro detallado de toda la actividad en el panel para auditoría y compliance

Hardening del servidor y WordPress

El hardening consiste en reducir la superficie de ataque eliminando funcionalidades innecesarias y reforzando configuraciones. Muchas de estas medidas se aplican una vez y protegen de forma permanente.

  • Cambia el prefijo de tablas de la base de datos (no uses wp_ por defecto)
  • Desactiva la edición de archivos desde el panel: define('DISALLOW_FILE_EDIT', true)
  • Oculta la versión de WordPress eliminando el meta generator
  • Protege wp-config.php y .htaccess con permisos restrictivos (400 o 440)
  • Bloquea el acceso directo a xmlrpc.php si no lo necesitas (objetivo habitual de ataques de fuerza bruta)
  • Limita los intentos de login y bloquea IPs tras intentos fallidos

Autenticación robusta y 2FA

Los ataques de fuerza bruta contra wp-login.php son constantes en cualquier WordPress público. Proteger el acceso al panel es una de las medidas con mayor impacto.

Implementa autenticación de dos factores (2FA) para todos los usuarios con permisos de administración. Usa contraseñas únicas y fuertes, preferiblemente generadas por un gestor de contraseñas. Considera cambiar la URL de login predeterminada para evitar ataques automatizados.

WAF y CDN como primera línea de defensa

Un Web Application Firewall (WAF) filtra el tráfico malicioso antes de que llegue a tu servidor. Combinado con un CDN, protege contra ataques DDoS, inyecciones y explotación de vulnerabilidades conocidas. Cloudflare ofrece un plan gratuito con protección básica que ya es significativa para la mayoría de sitios WordPress.

Sucuri y Cloudflare son las opciones más populares para WordPress. Ambos ofrecen reglas específicas para WordPress que bloquean patrones de ataque conocidos sin configuración manual.

Copias de seguridad y plan de recuperación

Ninguna medida de seguridad es infalible. Las copias de seguridad son tu última línea de defensa cuando todo lo demás falla. Deben ser automáticas, frecuentes, almacenadas fuera del servidor y verificadas periódicamente.

  • Programa backups diarios de base de datos y semanales completos (archivos + DB)
  • Almacena las copias en al menos dos ubicaciones externas (S3, Google Drive, servidor remoto)
  • Prueba la restauración al menos una vez al trimestre para verificar que los backups funcionan
  • Usa plugins como UpdraftPlus, BlogVault o BackupBuddy para automatizar el proceso

Monitorización continua

Detectar un incidente rápido es la diferencia entre un problema menor y una crisis. Monitoriza la disponibilidad, los cambios en archivos, los intentos de login fallidos y la aparición de malware.

Configura alertas por email o Slack ante eventos críticos. Usa UptimeRobot o Pingdom para monitorizar la disponibilidad y Google Search Console para detectar si tu sitio ha sido marcado como peligroso.

Puntos clave

  • Más del 90% de las vulnerabilidades de WordPress vienen de plugins y temas desactualizados
  • Un solo plugin de seguridad bien configurado cubre la mayoría de necesidades
  • El hardening del servidor y WordPress se aplica una vez y protege permanentemente
  • 2FA en todas las cuentas administrativas reduce el riesgo de acceso no autorizado drásticamente
  • Las copias de seguridad verificadas son la última línea de defensa imprescindible

¿Tu WordPress necesita una revisión de seguridad?

Auditamos tu instalación WordPress, aplicamos hardening profesional y establecemos un plan de mantenimiento para que tu sitio esté siempre protegido.