WordPress sigue siendo el CMS más popular del mundo, alimentando más del 43% de todos los sitios web en Internet. Esa popularidad tiene un lado oscuro: también es el objetivo número uno de los ciberdelincuentes. En 2026, los ataques automatizados a sitios WordPress han aumentado un 30% respecto al año anterior, y la mayoría de ellos aprovechan configuraciones básicas que cualquier administrador puede corregir en menos de una hora. En esta guía te doy un checklist completo para blindar tu web sin necesidad de ser un experto en seguridad.
Por qué WordPress es objetivo número uno
No es que WordPress sea inseguro por diseño. El problema radica en su ecosistema: decenas de miles de plugins y themes desarrollados por terceros, muchos de los cuales nunca reciben actualizaciones de seguridad. Un estudio reciente de Sucuri indica que el 61% de los sitios hackeados en 2025-2026 lo fueron por plugins desactualizados. Además, los ataques automatizados escanean miles de dominios por minuto buscando versiones vulnerables conocidas. Si tu sitio tiene un plugin obsoleto, aparece en esas listas y puede ser comprometido en cuestión de horas.
Otro factor es la configuración por defecto. La URL de acceso /wp-admin, el prefijo de tablas wp_ y el usuario administrador llamado admin son estándares que cualquier atacante conoce. La seguridad por oscuridad no es suficiente, pero tampoco hay que facilitar el trabajo al atacante.
Checklist de seguridad imprescindible
Esta lista cubre las medidas básicas que deberías implementar hoy mismo. No requieren conocimientos avanzados y la mayoría se pueden configurar en menos de 30 minutos.
Actualizaciones automáticas (core, plugins, themes)
Habilita las actualizaciones automáticas para el núcleo de WordPress, plugins y themes. Desde WordPress 5.6 esto es nativo, aunque muchos administradores lo desactivan por miedo a incompatibilidades. Mi recomendación: activa las actualizaciones menores de core automáticas y usa un sistema de staging para probar las mayores. Añade esto a tu wp-config.php:
define( 'WP_AUTO_UPDATE_CORE', true );
add_filter( 'auto_update_plugin', '__return_true' );
add_filter( 'auto_update_theme', '__return_true' );Plugin de seguridad: Wordfence o Sucuri
Instala un plugin de seguridad robusto. Wordfence (gratuito con opciones de pago) incluye firewall de aplicación web, escaneo de malware y bloqueo de IPs maliciosas. Sucuri ofrece un firewall en la nube excelente si necesitas protección DDoS. Configura el escaneo semanal y revisa los informes de alerta.
HTTPS forzado con redirect 301
El certificado SSL es obligatorio hoy en día. Forzar HTTPS redirige todo el tráfico HTTP a HTTPS, evitando ataques de intermediario (MITM). En Apache, añade al .htaccess:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]Login con 2FA (autenticación de dos factores)
El 81% de los hackeos a WordPress se producen mediante credenciales comprometidas. Implementa 2FA para todos los usuarios con rol de administrador o editor. Puedes usar plugins como Two Factor o la opción integrada en Wordfence. Requiere que el usuario introduzca un código temporal además de su contraseña.
Backups diarios automatizados
Un backup no es una medida preventiva, pero es tu red de seguridad. Configura backups automáticos diarios que se almacenen en una ubicación externa (AWS S3, Google Drive, Dropbox). Plugins como UpdraftPlus o BackupBuddy son opciones sólidas. Verifica que puedes restaurar un backup al menos una vez al mes.
Cambiar URL de login (/wp-admin)
Usa un plugin como WPS Hide Login para cambiar la URL de acceso a algo personalizado como /mi-acceso-secreto. Esto no detendrá a un atacante determinado, pero eliminará el 99% del ruido de bots que intentan fuerza bruta en /wp-login.php.
Limitar intentos de login
Bloquea las IPs que fallen el login más de 3-5 veces en un periodo corto. Wordfence incluye esta funcionalidad, pero también puedes implementarla a nivel de servidor con fail2ban si administras el VPS.
Hardening del servidor
Si tienes acceso al servidor, estas medidas añaden una capa extra de protección que los plugins no pueden ofrecer.
Bloquear xmlrpc.php en nginx/Apache
El archivo xmlrpc.php es un vector de ataque común para fuerza bruta distribuida y pingbacks spam. Si no usas la app móvil de WordPress ni servicios XML-RPC, bloquéalo. En nginx:
location = /xmlrpc.php {
deny all;
access_log off;
log_not_found off;
}En Apache, dentro del .htaccess:
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>Desactivar editor de archivos desde wp-config.php
El editor de temas y plugins desde el panel de administración es peligroso. Si un atacante accede con credenciales válidas, puede inyectar código malicioso directamente. Desactívalo:
define( 'DISALLOW_FILE_EDIT', true );Permisos correctos de carpetas (755) y archivos (644)
Nunca uses 777. Los permisos correctos para WordPress son 755 para directorios y 644 para archivos. El wp-config.php debería ser 600 o 640 para que solo el propietario pueda leerlo. Corrige permisos con:
find /var/www/html -type d -exec chmod 755 {} \;
find /var/www/html -type f -exec chmod 644 {} \;
chmod 600 /var/www/html/wp-config.phpQué hacer si ya te hackearon
Incluso con todas las medidas, los riesgos nunca son cero. Si detectas que tu sitio ha sido comprometido, sigue este protocolo:
- No entres en pánico. Los ataques más comunes inyectan scripts de redirección o spam SEO. Apaga el sitio temporalmente con un 503 si es necesario, pero no borres nada todavía.
- Restaura backup limpio. Si tienes un backup de antes de la infección, restáuralo. Es la forma más rápida y segura de volver a un estado conocido.
- Cambia todas las contraseñas. Incluye acceso a WordPress, FTP/SFTP, base de datos, panel de hosting y correo corporativo. Un atacante con acceso al email puede resetear cualquier otra cuenta.
- Escanea con Wordfence. Si no tienes backup limpio, usa Wordfence para identificar archivos maliciosos. Revisa especialmente los directorios
wp-content/uploadsywp-includesdonde se suelen esconder webshells. - Solicita auditoría profesional. Si el sitio sigue comportándose de forma extraña o maneja datos sensibles, contrata una auditoría de seguridad. Un experto puede detectar backdoors ocultos que los escáneres automáticos pasan por alto.
La seguridad de WordPress no es un proyecto de una sola vez. Requiere mantenimiento continuo: actualizar, monitorizar y auditar periódicamente. Invertir una hora al mes en revisar logs y actualizar componentes puede ahorrarte días de recuperación y una mala reputación online.