Proteger un sitio WordPress empieza por aceptar una verdad incómoda: el 43% de la web mundial corre sobre este CMS, y eso lo convierte en el blanco favorito de bots automatizados que escanean vulnerabilidades 24/7. La seguridad WordPress no va de instalar un plugin mágico y olvidarse, sino de aplicar capas de defensa que disuadan al atacante medio. Según datos de Sucuri y Wordfence publicados en sus informes anuales, la mayoría de hackeos no aprovechan zero-days exóticos: explotan contraseñas débiles, plugins desactualizados y permisos mal configurados. Esta guía recoge las medidas que cualquier administrador puede aplicar esta misma tarde para reducir drásticamente la superficie de ataque, sin necesidad de ser un ninja del kernel ni vender un riñón en plugins premium.
Por qué WordPress es objetivo prioritario
La cuota de mercado es el primer factor. Si controlas un exploit que afecta a un plugin instalado en 500.000 sitios, tienes una mina de oro para inyectar SEO spam, redirecciones a casinos o cryptominers. El segundo factor es el ecosistema: más de 60.000 plugins gratuitos en el repositorio oficial, muchos mantenidos por desarrolladores aficionados que abandonan el código a los dos años.
El tercer factor es humano. Administradores que usan admin como usuario, contraseñas tipo empresa2024 y nunca activan el doble factor. Los bots prueban miles de combinaciones por minuto contra /wp-login.php sin que nadie les moleste. Si quieres ver cómo está la cosa a nivel sectorial, los ciberataques contra infraestructura crítica usan exactamente las mismas técnicas básicas que los bots que tantean tu blog de recetas.
Hardening básico: las medidas no negociables
Antes de tocar nada, haz una copia de seguridad completa (archivos + base de datos). Plugins como UpdraftPlus o BackWPup permiten programar copias automáticas a Google Drive o Dropbox. Sin backup, cualquier cambio puede dejarte fuera del panel sin marcha atrás.
Las medidas mínimas para proteger WordPress son las siguientes:
- Cambia el usuario admin por defecto. Si tu instalación tiene un usuario llamado admin, créate uno nuevo con rol de administrador y borra el antiguo asignando los contenidos al nuevo.
- Contraseñas largas y únicas. Mínimo 16 caracteres, gestor tipo Bitwarden o 1Password. Verifica si tu email aparece en filtraciones con Have I Been Pwned.
- Doble factor de autenticación (2FA). Plugins como Wordfence Login Security o Two Factor Authentication añaden TOTP en menos de cinco minutos.
- Actualiza núcleo, temas y plugins semanalmente. Según informes recientes de Patchstack, alrededor del 96% de las vulnerabilidades reportadas afectan a plugins, no al core de WordPress.
- Elimina lo que no usas. Cada plugin desactivado sigue siendo un fichero PHP en tu servidor. Si no lo usas, bórralo.
Configuración del servidor y permisos
Un WordPress seguro empieza fuera de la carpeta wp-content. Los permisos de archivos deben ser 644 y los de directorios 755. Nunca 777, ni siquiera "temporalmente" para que un plugin funcione. Si un plugin te exige permisos 777, el problema es el plugin.
El fichero wp-config.php contiene las credenciales de la base de datos. Muévelo un nivel por encima de la raíz pública si tu hosting lo permite, o protégelo con reglas en el .htaccess:
- Deniega el acceso directo a wp-config.php, readme.html y license.txt
- Desactiva la edición de archivos desde el panel añadiendo define('DISALLOW_FILE_EDIT', true);
- Bloquea la ejecución de PHP dentro de /wp-content/uploads/
- Cambia los salts de autenticación cada cierto tiempo usando el generador oficial
Si gestionas varios sitios o necesitas un entorno empresarial robusto, considera un servicio de WordPress profesional gestionado con monitorización continua. La diferencia entre un hosting compartido genérico y uno especializado se nota el día que sufres un ataque a las tres de la madrugada.
Plugins de seguridad: cuáles instalar (y cuáles no)
El error típico es instalar tres plugins de seguridad a la vez pensando que se complementan. Lo que pasa en realidad es que se pisan, ralentizan el sitio y duplican firewalls. Elige uno y configúralo bien.
| Plugin | Punto fuerte | Limitación |
|---|---|---|
| Wordfence | Firewall de aplicación + escáner malware | Versión gratuita con firmas retrasadas 30 días |
| Sucuri Security | Auditoría y monitorización de integridad | WAF real solo con plan de pago |
| iThemes Security | Hardening guiado paso a paso | Interfaz menos cuidada |
| Patchstack | Virtual patching de vulnerabilidades conocidas | Modelo freemium con límites estrictos |
Complementa el plugin elegido con un CDN tipo Cloudflare en modo proxy. Filtra tráfico malicioso antes de que llegue a tu servidor y reduce la carga real un porcentaje considerable. La capa gratuita ya incluye protección DDoS básica.
Detección temprana: señales de que algo va mal
Un WordPress comprometido raramente muestra una pancarta diciendo "te han hackeado". Los síntomas son sutiles. Aprende a reconocerlos antes de que Google te marque como sitio peligroso.
- Aumento inexplicable de CPU o memoria en el panel del hosting
- Usuarios administradores que no recuerdas haber creado
- Archivos PHP nuevos en /wp-content/uploads/, especialmente con nombres aleatorios
- Modificaciones en wp-config.php, index.php o wp-load.php sin razón aparente
- Tráfico de salida sospechoso hacia dominios desconocidos
- Resultados extraños en Google mostrando contenido en japonés, ruso o farmacia
Para análisis puntuales, sube ficheros sospechosos a VirusTotal, que los contrasta contra más de 70 motores antivirus. Para auditorías más completas, consulta nuestra guía sobre auditoría de ciberseguridad.
Qué hacer cuando el desastre ya ha ocurrido
Si descubres que tu sitio ha sido hackeado, no entres en pánico ni borres todo a lo loco. La respuesta correcta sigue un orden:
- Aísla el sitio. Activa el modo mantenimiento o pon una página estática mientras investigas.
- Cambia todas las contraseñas: WordPress, FTP, base de datos, panel del hosting y cuentas de email asociadas.
- Restaura desde una copia limpia anterior al incidente, no de ayer si la infección es de hace dos semanas.
- Escanea con dos herramientas distintas (Wordfence + Sucuri SiteCheck, por ejemplo) para reducir falsos negativos.
- Revisa logs del servidor para entender el vector de entrada y cerrarlo.
- Solicita revisión a Google Search Console si te marcaron como sitio comprometido.
El RGPD obliga a notificar a la AEPD en 72 horas si el incidente afecta datos personales (artículo 33 del Reglamento UE 2016/679). Si manejas datos de clientes, considéralo parte del protocolo. Para entornos profesionales, conviene tener documentado un plan de continuidad de negocio antes de necesitarlo, no durante el incendio.
Errores comunes que invalidan todo lo anterior
De nada sirve aplicar 2FA si reutilizas la contraseña en cinco servicios distintos. La seguridad WordPress es una cadena, y rompe por el eslabón más débil. Estos son los fallos que vemos repetidamente al revisar instalaciones supuestamente "blindadas":
- Dejar habilitado XML-RPC sin necesitarlo (vector clásico de ataques de fuerza bruta amplificados)
- Instalar temas o plugins nulled (versiones piratas) que vienen con backdoors integrados
- Conceder rol de administrador a usuarios que solo necesitan publicar artículos
- No revisar quién tiene acceso al panel después de despedir a un freelance
- Usar el mismo email de administrador en mil sitios sin alias
- Confiar en que el hosting "ya hace backups" sin verificar nunca que se restauran correctamente
Preguntas frecuentes
¿Es suficiente con un plugin de seguridad para proteger WordPress?
No. Un plugin es una capa más, pero sin contraseñas fuertes, actualizaciones al día y backups verificados, deja huecos importantes. La defensa en profundidad combina hosting, configuración del servidor, hardening del CMS y hábitos del administrador.
¿Cada cuánto debo actualizar WordPress y los plugins?
Las actualizaciones de seguridad del core se aplican automáticamente desde la versión 3.7. Para plugins y temas, revísalos al menos una vez por semana. Las vulnerabilidades críticas suelen tener exploits públicos a las 24-48 horas de publicarse.
¿Qué pasa si me hackean y tengo datos de clientes?
Estás obligado a notificar a la Agencia Española de Protección de Datos en menos de 72 horas, según el artículo 33 del RGPD. Si la brecha implica alto riesgo para los afectados, también debes comunicárselo individualmente. Las sanciones por omisión llegan al 4% de la facturación anual.
¿Sirve esconder la URL de login (/wp-admin)?
Es seguridad por oscuridad: reduce el ruido de bots automáticos, pero no detiene un ataque dirigido. Úsalo como medida complementaria, nunca como sustituto de 2FA y contraseñas robustas.
¿Los hostings compartidos baratos son seguros para WordPress?
Pueden serlo si están bien configurados con aislamiento entre cuentas, pero suelen ofrecer menos control y peor respuesta ante incidentes. Para sitios con tráfico real o tienda online, un hosting gestionado especializado compensa el sobrecoste.
El siguiente paso
Entra ahora mismo en tu panel de WordPress, ve a Usuarios y comprueba si tienes algún administrador llamado admin, administrator o root. Si la respuesta es sí, créate un usuario nuevo con un nombre no obvio, asígnale rol de administrador, cierra sesión, vuelve a entrar con el nuevo y borra el antiguo. Tres minutos de trabajo que eliminan el 80% de los intentos de fuerza bruta automatizados que recibes cada día.
