En esta entrada te compartiré los puntos clave de una charla que di recientemente sobre seguridad en WordPress. No soy un experto en ciberseguridad, pero después de haber enfrentado múltiples ataques, infecciones de malware y sitios caídos, he reunido un listado de prácticas esenciales que cualquier persona que trabaje con WordPress debe conocer.
Parece obvio, pero es un error muy común. Al instalar WordPress desde un asistente, el usuario por defecto suele ser “admin”. ¿El problema? Es el primer nombre que prueban los bots para hacer ataques de fuerza bruta. Crea un usuario único y elimina el usuario “admin” una vez hecho el cambio.
Una contraseña débil es casi una invitación. Utiliza generadores de contraseñas aleatorias con al menos 15 caracteres. Revisa su fortaleza en sitios como Kaspersky Password Checker. Y no, pegar la contraseña en un bloc de notas o en un post-it no cuenta como seguridad.
Si te preocupa no recordar contraseñas complejas, utiliza gestores como LastPass, Bitwarden o 1Password. Así solo tendrás que recordar una contraseña maestra y el gestor se encargará del resto.
Actualiza siempre el core de WordPress, los plugins y los temas. Usa temas y plugins con soporte activo y buena reputación. Si un tema o plugin no se actualiza desde hace años, es una brecha de seguridad. Incluye una póliza de mantenimiento en tus proyectos, o al menos hazlo tú cada mes.
Si tienes varios sitios en un mismo servidor y uno se infecta, es muy probable que se propaguen todos. Por eso, mantener todo al día es doblemente importante en entornos compartidos.
Algunas medidas básicas:
Hay plugins como Limit Login Attempts Reloaded o WP Cerber que bloquean IPs tras múltiples intentos fallidos. Solo cuidado con bloquearte a ti mismo.
Cuanto más cambie tu sitio, más frecuente deben ser los respaldos. Usa plugins como:
Hazlos al menos mensualmente para sitios estáticos o semanalmente para tiendas y blogs activos.
Hay archivos como xmlrpc.php que pueden ser usados para ataques si no los necesitas. Puedes bloquearlos completamente o usar plugins como Disable XML-RPC para limitar su uso.
Si tienes presupuesto, servicios como Sucuri o Astra Security ofrecen protección proactiva. Si prefieres una opción gratuita, configura tu dominio con Cloudflare y activa el modo “Under Attack” cuando sea necesario.
Protege tus formularios de contacto y comentarios con reCAPTCHA v3. Plugins como Contact Form 7, WPForms o Advanced noCaptcha permiten integrarlo fácilmente.
Cambiar la URL de acceso al administrador con plugins como WPS Hide Login puede añadir una capa de protección contra bots básicos. No es infalible, pero puede funcionar como una barrera más.
Evita usar los recursos del servidor para escaneos. En lugar de eso, utiliza herramientas externas como:
No hay una única solución para la seguridad en WordPress, pero aplicar estas prácticas básicas reduce considerablemente el riesgo. La seguridad web no es un tema para después. Invertir tiempo ahora puede ahorrarte semanas de crisis.
