.st0{fill:#FFFFFF;}

Seguridad en WordPress: lista de verificación 

Tiempo de lectura: 10 minutos

¿Sabía que más de 100.000 sitios web son hackeados diariamente? Así es, el cibercrimen es una seria amenaza para cualquier empresa, y cualquiera con un sitio de WordPress tampoco es seguro. Tuve un encuentro con piratas informáticos (y tuve que recuperar mi sitio de WordPress ), y quiero que sepas que fue feo.

Los hackers están buscando activamente sitios web vulnerables para romper y robar datos que puedan liberar para obtener ganancias monetarias o pura intención maliciosa. Para proteger tu valioso sitio, deberías considerar seriamente fortalecer tu seguridad en WordPress.

Teniendo en cuenta que perderás ingresos, tiempo y esfuerzo cuando los piratas informáticos ingresen a tu sitio web, he creado la siguiente lista de verificación de seguridad que puedes usar para proteger tu sitio web de WordPress. Todos los elementos de seguridad en la publicación son relativamente fáciles de implementar, incluso para los novatos:

Como puedes ver, la publicación se divide en varias partes que abarcarán todo, desde elegir un host seguro hasta fortalecer su área de administración y otras. 

Deberás repetir algunas tareas de seguridad, como actualizar sus temas regularmente. Otras tareas son únicas, pero aún tienen un impacto significativo en mantener su sitio seguro. Comprueba lo que necesitas arreglar y hazlo de inmediato porque los hackers nunca pierden el tiempo.

Actualiza WordPress

l núcleo de WordPress se audita y verifica regularmente para detectar vulnerabilidades de seguridad. Si se detectan fallas y errores de seguridad, los desarrolladores principales generalmente lanzan actualizaciones de mantenimiento. Las actualizaciones menores se instalan en su sitio web de WordPress automáticamente.

Sin embargo, deberá actualizar WordPress manualmente para todas las versiones principales. Es un proceso relativamente sencillo ya que recibe un mensaje molesto en su administrador de WordPress. 

Solo el 22% de los sitios web se ejecutan con la última versión de WordPress, lo cual es triste teniendo en cuenta lo fácil que es actualizar.

No te quede en el 78% restante, ya que esencialmente está exponiendo tu sitio a todo tipo de ataques al no actualizar el sitio web. 

Por lo general, los piratas informáticos son el primer grupo de personas en conocer las vulnerabilidades en las versiones antiguas, ya que cuentan con las fallas para lanzar ataques exitosos.

Antes de actualizar WordPress, te recomendamos leer las notas de la versión para ver qué ha cambiado y hacer una copia de seguridad del sitio web (solo para estar seguro).

Actualizar themes y plugins

Mientras actualizas WordPress, no olvides actualizar sus themes y plugins también. Los hackers son particularmente amantes de elementos viejos y desactualizados con agujeros de seguridad conocidos.

Explotan estas vulnerabilidades de seguridad e incluso pueden ocultar una puerta trasera en un tema o addon antiguo. Si no actualizas, pueden hackear tu sitio web cuando lo desees.

Para evitar perder tus modificaciones, lo mejor es crear un «child theme» en lugar de utilizar tema principal. De esa manera, no perderás tus personalizaciones cuando actualices.

También deberías eliminar los themes inactivos, plugins e instalaciones de WordPress no utilizadas. No solo ahorrarás ancho de banda y hacer que tu sitio web sea más rápido , sino que también mantendrá a raya a los hackers.

Otra nota rápida, nunca descargues temas y addons premium «nulled». Solo acude a fuentes confiables como WordPress.org, Envato u otra tienda de buena reputación.

Crea contraseñas seguras y únicas

Te sorprenderá saber que la mayoría de los sitios web son pirateados cuando los malos roban tu información de inicio de sesión. Además, los ataques de fuerza bruta son bastante comunes e implican bombardear la página de inicio de sesión con miles de combinaciones de nombre de usuario y contraseña hasta que algo ceda.

Las contraseñas son un elemento crítico en cuanto a seguridad de WordPress se refiere, así que brinda el tiempo necesario para que todo quede perfecto.

Si usa nombres de usuario y contraseñas débiles (como el infame «admin» o «12345»), estás haciendo que sea muy fácil para los hackers ingresar a tu sitio web. 

Acostúmbrate a crear contraseñas únicas y seguras que cambies regularmente. Incluso puede usar un generador en línea gratuito, como este de Random.org.

Administrar muchas contraseñas seguras puede ser un problema. 

Para ayudar, a menudo confío en administradores de contraseñas como Bitwarden, Keepass o LastPass, entre otros. 

No reutilices la misma contraseña en varios sitios web y mantén siempre segura tu información de inicio de sesión. Enseña a que todos los usuarios de WordPress también usen contraseñas seguras.

Mientras lo haces, recuerde usar contraseñas seguras para tu correo electrónico, cPanel, bases de datos MySQL y cuentas FTP .

Instala un plugin de seguridad en WordPress

Cada vez que creo un nuevo sitio web de WordPress, generalmente tengo varios plugins de facto que instalo casi automáticamente. Obtengo un plugin anti-spam , Contact Form 7, e iThemes Security , mi plugin de seguridad de WordPress.

El plugin me permite fortalecer mis defensas de WordPress sin sudar. Viene con tantas características que hacen que mantener a los malos fuera de mis sitios web sea muy fácil. Configurar el complemento es súper fácil; debería estar en funcionamiento en poco tiempo.

Los mejores plugin de seguridad en WordPress ofrecen diferentes funciones, así que revisa bien antes de instalar para asegurarte de que obtiene todas las funciones que necesitas para proteger todo el sitio web, sin importar cuán únicas sean. 

Las características estándar incluyen escaneo de malware, bloqueo de IP, prevención de fuerza bruta, autentificación de dos pasos y mucho más: ¡marca en todas las casillas esta lista de verificación de seguridad que está leyendo en este momento!

Elige un excelente hosting para WordPress

Por lo general, los principiantes buscan el primer paquete de alojamiento barato que encuentran. No lo consideraría en su contra, ya que no conocen nada mejor, pero el hosting compartido cuestionablemente barato (o incluso gratuito) pueden exponerte a riesgos de seguridad. 

Sé esto a ciencia cierta porque he sido pirateado en dos compañías de alojamiento diferentes que ofrecen alojamiento compartido.

El hosting compartido implica compartir un servidor con miles de otros sitios web. Esto aumenta el riesgo de contaminación entre sitios. Es decir, un hacker puede obtener acceso a tu sitio incluso si el sitio web de otra persona fue el punto de ataque original.

El alojamiento administrado de WordPress, por otro lado, se centra solo en sitios web de WordPress. No comparte un servidor con otros, y obtiene más opciones de seguridad para mantenerse seguro. También ofrecen soporte dedicado, y más opciones de recuperación en caso de que ocurra lo peor.

Si debe utilizar el alojamiento compartido, digamos que estás comenzando con un blog que aún no genera dinero, asegúrate que los sitios estén aislados o «encarcelados». 

Si estás ejecutando un sitio web comercial o de comercio electrónico, vale la pena usar el mejor alojamiento de WordPress que puedas ajustar a tu presupuesto desde el primer momento, como VPS, hosting dedicado o administrado de WordPress.

6. Usa un certificado SSL (HTTPS)

Hoy en día, muchas empresas de alojamiento de WordPress ofrecen certificados SSL gratuitos desde el primer momento y por una buena razón. 

Los certificados SSL hacen que tu sitio web sea más seguro que los sitios sin SSL. Google también recomienda el uso de certificados SSL para proteger los datos (y asegurarse de que los usuarios sepan si usa SSL o no).

HTTPS es más seguro que su predecesor HTTP. Un sitio web que utiliza HTTPS cifra todos los datos que se mueven entre el navegador del usuario y sus servidores. Si un hacker intercepta la comunicación, solo encontrará datos encriptados que sean tan útiles como un hombre con una sola pierna en una competencia de patear traseros 🙂

Instalar certificados SSL en la mayoría de los servidores web es tan fácil como A, B, C. La mayoría ofrece instaladores con un solo clic que facilitan todo el proceso. Simplemente inicie sesión en su cPanel y haga clic en un solo botón para instalar y administrar sus certificados SSL. 

Si desea un enfoque más práctico, considere revisar Let’s Encrypt , aunque si vas a hacer cobros en tu página, un SSL gratuito para la seguridad en WordPress, así que deberías comprar uno con mejores características.

Crea una copia de seguridad completa

Cuando los hackers me destronaron, tuve que reconstruir mis sitios web desde cero, un dolor de cabeza que habría evitado si hubiera recordado de manera confiable hacer una copia de seguridad de WordPress .

Pero no, las copias de seguridad que estaban en mi servidor web se corrompieron durante el ataque, y no, no tenía una sola copia de seguridad secundaria. Un caso clásico de poner todos tus huevos en una canasta que me enseñó una dura lección.

Hoy en día, creo copias de seguridad completas del sitio web que incluyen mis archivos y bases de datos. Principalmente uso ManageWP , pero también uso el complemento Duplicador para almacenar copias de seguridad en mi ordenador y en Google Drive.

Te insto a crear copias de seguridad completas regularmente. Muchas soluciones de respaldo de WordPress te permiten automatizar todo el proceso, ahorrando tiempo y brindando tranquilidad.

8. Use un firewall de aplicaciones web (WAF)

Para agregar una capa adicional de seguridad a tu sitio de WordPress y dormir mejor por la noche, habilita un firewall de aplicación web (WAF). 

Un WAF protege su sitio web al bloquear el tráfico malicioso mucho antes de que llegue a su sitio. Es una medida proactiva para detener a los malos antes de que causen algún daño.

El cortafuegos filtra el tráfico entrante, elimina a los piratas informáticos y deja pasar a los usuarios legítimos. Muchas compañías de seguridad de WordPress ofrecen firewalls de aplicaciones web junto con otras funciones. Las opciones populares en la industria incluyen Sucuri y Cloudflare .

Desactiva la edición de archivos en WordPress Admin

El CMS de WordPress viene con un fantástico editor de código que te permite editar archivos de plugins y temas dentro de su panel de administración de WordPress. 

El editor de código es una gran herramienta para tener a su disposición, pero en manos equivocadas, los hackers pueden usarlo para desfigurar o agregar malware.

Siempre puedes editar su tema y archivos de complementos (si es necesario) a través de tu cuenta FTP o administrador de archivos en cPanel, lo que significa que puedes desactivar por completo el editor de código en WordPress. 

No desea que los piratas informáticos que obtengan acceso a tu área de administración de WordPress tengan acceso al editor de código, ya que pueden causar mucho daño con unas pocas líneas de código.

¿Qué hacer? Puede deshabilitar el editor de código incorporado utilizando el complemento gratuito Sucuri Security . 

Alternativamente, puedes agregar el siguiente código a su  archivo wp-config.php :

// No permitir la edición de archivos en el panel de administracion
define ('DISALLOW_FILE_EDIT', true);

Estamos avanzando

Haz segura tu página de inicio de sesión

Por lo general, el formulario de inicio de sesión en su WordPress tiene dos campos; nombre de usuario y contraseña. Con los atacantes de fuerza bruta y los robots cada vez más inteligentes, ¿cómo evitas que los piratas informáticos tengan acceso a tu área de administración de WordPress? 

Es simple; agrega CAPTCHA o preguntas de seguridad que hagan que sea más difícil para cualquier persona obtener acceso no autorizado.

Y no tienes que editar código para agregar CAPTCHA o preguntas de seguridad a su página de inicio de sesión. Existe un popular plugin de WordPress conocido como WP Security Question que es fácil de configurar y usar. 

Si desea utilizar CAPTCHA, puede utilizar Simple Login Captcha , WordFence o una de las muchas otras opciones disponibles de forma gratuita en WordPress.org.

Al mismo tiempo, puedes cambiar su URL de inicio de sesión de wp a algo único. De esa manera, los bots y los piratas informáticos tendrán dificultades para adivinar la URL de tu página de inicio de sesión. wp-login ya es popular entre los hackers, por lo que tiene mucho sentido cambiar la URL a otra cosa. Puede usar un complemento como WPS Hide Login .

Añade autentificación a dos pasos

Además, considera implementar la autenticación de dos factores y de múltiples factores . 

En caso de que un hacker tenga acceso a sus datos de inicio de sesión, no podrá iniciar sesión en su sitio de WordPress. Hay muchas opciones disponibles, pero Google Authenticator es una opción popular.

Aparte de eso, limita los inicios de sesión en su página de inicio de sesión. Si un visitante está intentando iniciar sesión con una cuenta que no existe o está intentando volver a iniciar sesión muchas veces, lo más probable es que sea un hacker o un robot que intente ingresar por fuerza bruta.

Puedes usar un complemento como Limit Login o bloqueo de inicio de sesión para mantener alejados a estos elementos intrusivos.

Cerrar sesión usuarios inactivos

Si tienes un sitio web de WordPress multiusuario, no puede controlar completamente cómo o dónde los usuarios acceden a su sitio web. 

Un autor podría decidir usar Wi-Fi público gratuito para hacer toques finales en un artículo. Un diseñador web puede abandonar su escritorio y regresar de una hora de almuerzo.

Dos ejemplos fatales si quieres tener tu seguridad en WordPress al máximo.

En tales escenarios, un usuario puede exponer su sitio web a riesgos de seguridad sin saberlo. Una persona malintencionada podría hacerse cargo de su sesión, editar sus detalles y causar estragos. Si la parte no autorizada sabe lo que está haciendo, puede hacerse cargo fácilmente de la cuenta del usuario y causar daños.

¿Qué hacer? Puede cerrar la sesión de usuarios inactivos automáticamente después de un período predefinido. ¿Y la mejor parte? Hay complementos para este propósito exacto. Una opción popular es el complemento de cierre de sesión inactivo que incluye opciones para personalizar el tiempo de inactividad antes del cierre de sesión, mensaje emergente personalizado o redirigir al cerrar sesión y el tiempo de espera según el rol del usuario.

Esto es clave si tienes una tienda online: ayudarás a tus clientes a que nadie haga uso de sus datos.

Analiza en busca de malware y problemas (regularmente)

A menudo olvidado, escanear tu sitio web de WordPress regularmente puede ayudar a identificar problemas de seguridad desde el principio. Un pirata informático tarda solo un segundo en ingresar a tu sitio web y hacer todo tipo de cosas desagradables. Esta es precisamente la razón por la que debes estar al tanto de las cosas en todo momento.

Existen uchos plugins de seguridad de WordPress para buscar infecciones de malware , vulnerabilidades de seguridad conocidas, scripts obsoletos, ataques de fuerza bruta, copias de seguridad inexistentes, etc. 

Los plugins te envían informes detallados sobre problemas conocidos, para que pueda solucionarlos o contratar a un profesional.

Existen muchos escáneres de sitios web, como Sucuri SiteCheck , que puede usar para verificar su sitio en un instante. Todo lo que tiene que hacer es ingresar su URL, y las herramientas verificarán el sitio web automáticamente. 

Después de eso, te ofrecen un informe sobre lo que necesita arreglar. Una vez que tengas el informe, repara todas las vulnerabilidades de seguridad de inmediato.

Usa un VPN

Si ejecuta un sitio web que contiene información confidencial que nunca debe estar en manos de los piratas informáticos, considera usar una red privada virtual (VPN), más aún cuando se use Wi-Fi público gratuito. 

Una VPN te protege de ataques en el medio que son comunes en las redes públicas, incluso en el hogar y el trabajo.

Una red privada virtual asegura que, incluso si los atacantes obtienen acceso al sistema y roban sus datos, no pueden hacer nada con los datos que obtienen de usted. Si tiene una red de Internet que comparte con muchas personas, use siempre una VPN antes de acceder a su área de administración de WordPress.

Otras opciones de seguridad de WordPress

¿Necesitas más para hacer? Quiero que tengas tu sitio web seguro en todo momento, así que aquí hay elementos de seguridad adicionales para agregar a tu lista de verificación de seguridad en WordPress:

  • Deshabilita la ejecución de archivos PHP en / wp-content / wp-uploads /
  • Cambia el prefijo de la base de datos de WordPress
  • Protege con contraseña tu administrador y páginas de inicio de sesión en el lado del servidor
  • Deshabilita la indexación de todas las páginas administrativas (wp-admin)
  • Deshabilita WP REST API y XML-RPC si no es necesario
  • No edites / cambies el núcleo de WordPress: escribe o usa un plugin que ofrezca la funcionalidad que necesitas en su lugar
  • Asegúrate de que tu sitio web ejecute la última versión de PHP
  • Use un programa antivirus en tu ordenador
  • Habilita Google Search Console, allí te pueden avisar si hay algo raro en tu sitio web
  • Reduce las vulnerabilidades de inyección de XSS y SQL (es posible que necesite una persona más experta en tecnología para ayudar con estos dos)

Realmente, la cantidad de pasos que puede seguir para proteger su sitio son infinitas. Pero si puedes marcar los 14 elementos, es un gran paso para asegurar tu sitio.


Asegurar tu sitio web de WordPress es desafiante pero no imposible. Con las herramientas y habilidades adecuadas, puedes fortalecer rápidamente tu seguridad de WordPress y mantener alejados a los bichos.

Como resumen, mantén siempre actualizado su sitio web. Además de eso, nunca descargues temas o complementos de sitios no confiables. Y para estar seguro si ocurriera lo peor, siempre debes tener una herramienta que cree copias de seguridad periódicas FUERA de tu hosting.

Espero que haya encontrado todos los consejos que necesita para asegurar tu sitio web de WordPress. Si tiene alguna pregunta o necesita ayuda para descubrir cómo proteger su sitio web de WordPress, hazmelo saber en los comentarios. 

¡Hyla nin!

EdMundo Perez


Your Signature

related posts:


Diferencia entre variable y atributo en WooCommerce


Cómo decir no a los clientes y crear límites claros


El poder del papel

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}
>