RevealTheme logo

Guía · Actualizada 2026

Lista de verificación de seguridad de WordPress: 30 pasos que de verdad importan

La mayoría de los consejos de seguridad de WordPress son genéricos, alarmistas y se olvidan de lo que de verdad importa. Esta lista ordena las medidas de seguridad por impacto real, basándose en los patrones de ataque reales usados contra sitios WordPress (fuerza bruta, plugins vulnerables, credenciales débiles, núcleos desactualizados).

Los 5 esenciales: hazlos primero

  1. Mantén actualizados el núcleo de WordPress, los temas y los plugins. Los plugins vulnerables son el vector de ataque número 1. Activa las actualizaciones automáticas de versiones menores (WordPress 5.6+ lo hace por defecto). Para versiones mayores, actualiza dentro de los 7 días posteriores al lanzamiento. Para plugins, activa la actualización automática de los de confianza; revisa manualmente las notas de versión de los plugins críticos.
  2. Usa contraseñas fuertes y únicas para cada cuenta de WordPress. Especialmente las de administrador. Usa un gestor de contraseñas (1Password, Bitwarden). Desactiva el nombre de usuario «admin»: crea un nuevo administrador y elimina el antiguo.
  3. Activa la autenticación de dos factores. Usa Wordfence Login Security (gratis) o nuestro Generador de QR 2FA con cualquier app TOTP. El 2FA derrota más del 99 % de los ataques de relleno de credenciales.
  4. Instala un plugin de seguridad de confianza. Wordfence (la versión gratuita basta para la mayoría de sitios) o Solid Security. No apiles varios: entran en conflicto. El plugin gestiona el límite de intentos de inicio de sesión, la monitorización de integridad de archivos y el análisis de malware.
  5. Copias de seguridad diarias fuera del sitio. UpdraftPlus → Dropbox/Google Drive. Haz la copia antes de necesitarla. Prueba el proceso de restauración al menos una vez.

Las 10 siguientes: medidas adicionales de alto impacto

  1. Fuerza HTTPS. Let's Encrypt es gratis en todo alojamiento moderno. Redirige HTTP a HTTPS a nivel de servidor.
  2. Cambia el prefijo de las tablas de la base de datos. WordPress usa wp_ por defecto; cámbialo por algo personalizado durante la instalación. No evita ataques, pero dificulta algunos patrones de ataque.
  3. Desactiva XML-RPC si no lo usas. XML-RPC es un vector común de amplificación de fuerza bruta. Si no usas la app móvil de Jetpack ni la publicación remota, desactívalo mediante .htaccess o un plugin.
  4. Limita los intentos de inicio de sesión. Wordfence lo hace automáticamente. Evita el relleno de credenciales por fuerza bruta.
  5. Rota las claves/salts de autenticación de WordPress. Usa nuestro Generador de Salts de WordPress. Rótalas tras cualquier sospecha de compromiso, tras eliminar a un administrador comprometido y cada 6-12 meses de forma rutinaria.
  6. Usa SSH o SFTP para transferir archivos, nunca FTP plano. El FTP transmite las credenciales en texto plano.
  7. Restringe el acceso a wp-admin por IP si es posible. Si tu equipo usa IPs fijas (oficina, VPN), limita wp-admin solo a esas IPs. Mediante .htaccess o la configuración de Nginx.
  8. Desactiva la edición de archivos en wp-config.php. Añade: define('DISALLOW_FILE_EDIT', true); Evita que los atacantes editen temas/plugins desde el panel si comprometen una cuenta.
  9. Oculta el número de versión de WordPress. Elimina la etiqueta meta generator. No evita ataques, pero reduce el fingerprinting.
  10. Bloquea los permisos de archivos. Archivos 644, directorios 755, wp-config.php 600. La mayoría de los alojamientos gestionados lo hacen automáticamente; en un VPS, configúralo explícitamente.

Refinamiento: bueno pero no crítico

  1. URL de inicio de sesión personalizada (p. ej., WPS Hide Login). Sobre todo reduce el ruido del tráfico de bots; no es seguridad real.
  2. CAPTCHA en los formularios de inicio de sesión. Una leve fricción para los ataques automatizados.
  3. Desactiva la ejecución de PHP en /uploads/. Evita que se ejecuten shells PHP subidos.
  4. Usa el WAF de Cloudflare (nivel gratuito). Filtra el tráfico malicioso antes de que llegue a tu servidor.
  5. Configura una alerta por correo de administrador para las actualizaciones de plugins/núcleo.
  6. Usa la precarga HSTS para forzar HTTPS a nivel de navegador.
  7. Desactiva la enumeración de usuarios mediante la API REST (Solid Security o Wordfence lo gestionan).
  8. Usa cabeceras de Política de Seguridad de Contenido (CSP).
  9. Desactiva la navegación por directorios (la mayoría de los alojamientos lo hacen por defecto).
  10. Monitoriza el tiempo de actividad + la integridad con un servicio externo (nivel gratuito de UptimeRobot + Sucuri SiteCheck semanal).
  11. Limita los roles de usuario al mínimo privilegio. La mayoría de los colaboradores no necesitan acceso de nivel editor.
  12. Cifrado de copias de seguridad de la base de datos (UpdraftPlus Premium lo ofrece).
  13. Alojamiento de imágenes fuera del dominio mediante CDN (reduce la superficie de ataque).
  14. Revisión periódica del registro de auditoría de seguridad.
  15. Test de penetración anual si el sitio genera ingresos significativos.

Mitos de seguridad de WordPress: omítelos

Varias medidas de «seguridad» muy recomendadas ofrecen una protección real mínima: (1) «Ocultar la versión de WordPress»: conocer tu versión ayuda ligeramente a los ataques dirigidos, pero la solución real es actualizar, no ocultar. (2) «Mover wp-config.php por encima de public_html»: aporta esencialmente cero beneficio de seguridad; el archivo ya está protegido por .htaccess. (3) «Desactivar la API REST»: rompe muchos plugins y bloquea poco. Limita endpoints específicos en su lugar. (4) «Apilar varios plugins de seguridad»: entran en conflicto y se solapan. Un plugin de confianza (Wordfence o Solid Security) cubre lo que harían tres. (5) «Renombrar wp-login.php»: seguridad por oscuridad; los atacantes encuentran la nueva URL fácilmente mediante redirecciones.

Si te han hackeado: lista de recuperación

  1. No entres en pánico; no elimines cosas de inmediato. Toma primero una instantánea del estado actual para el análisis forense.
  2. Pon el sitio fuera de línea (plugin de modo mantenimiento o redirección .htaccess a una página estática).
  3. Cambia todas las contraseñas de administrador y rota los salts de WordPress.
  4. Audita las cuentas de usuario: elimina de inmediato las cuentas de administrador no reconocidas.
  5. Analiza en busca de malware con Wordfence Premium o Sucuri.
  6. Compara los archivos actuales con una descarga limpia de WordPress: el diff revela los archivos del núcleo modificados.
  7. Revisa la tabla wp_options de la base de datos en busca de entradas inesperadas (a menudo contiene JS inyectado).
  8. Restaura desde la copia de seguridad limpia más reciente (por esto importan las copias diarias).
  9. Una vez restaurado, audita cada plugin: elimina los no usados, actualiza todos y reemplaza cualquiera con CVEs públicas.
  10. Actualiza el núcleo de WordPress a la última versión.
  11. Vuelve a habilitar el sitio y vigila la reinfección durante 30 días.
Genera salts nuevos de WordPress ahora

Preguntas frecuentes

¿Es WordPress menos seguro que otros CMS?
No de forma inherente. La reputación de WordPress como riesgo de seguridad viene de dos factores: impulsa el 43 % de la web, así que los atacantes lo apuntan; y los usuarios casuales instalan plugins vulnerables sin auditarlos. Un sitio WordPress mantenido con plugins verificados es tan seguro como Drupal o Joomla. Un sitio WordPress abandonado con 30 plugins desactualizados es un blanco fácil.
¿Necesito un plugin de seguridad de pago?
La mayoría de los sitios no. Wordfence Free cubre lo que necesita el 90 % de los sitios WordPress: cortafuegos, análisis de malware, seguridad de inicio de sesión, integridad de archivos. La versión Premium añade actualizaciones de amenazas en tiempo real (frente a un retraso de 30 días), bloqueo por país y soporte prioritario: vale la pena para sitios con ingresos reales, opcional en los demás casos.
¿Con qué frecuencia debo actualizar WordPress?
Versiones menores (5.6.1 → 5.6.2): automáticamente, de inmediato. Versiones mayores (5.x → 6.x): dentro de los 7 días posteriores al lanzamiento. Actualizaciones de plugins: revisión semanal; actualización automática si tienes copias de seguridad; revisión manual para plugins críticos (seguridad, comercio electrónico, código personalizado).
¿Cuál es la forma más común en que se hackean los sitios WordPress?
Los plugins vulnerables, responsables de ~55 % de los ataques exitosos a WordPress según los informes anuales de Wordfence. El propio código del plugin tiene una vulnerabilidad que el atacante explota. Mitigación: mantén los plugins actualizados, elimina los no usados e instala solo plugins de desarrolladores de confianza.
¿Debo usar un alojamiento con seguridad de WordPress integrada?
Los alojamientos gestionados de WordPress (Kinsta, WP Engine, Pressable) incluyen WAF, análisis de malware y actualizaciones automáticas del núcleo: añadidos significativos. Si justifican el precio premium depende de tu tráfico y perfil de amenazas. Para un sitio de pequeña empresa, una instalación gratuita de Wordfence en alojamiento compartido cubre la mayoría de las amenazas.

Lecturas relacionadas

Subscribe for updates

We do not sell your email. We do not spam.

© 2026 RevealTheme. All rights reserved.