Cómo proteger un sitio de WordPress contra hackers (paso a paso) 

Mi primer susto de seguridad real llegó cuando los bots de spam bombardearon mi página de inicio de sesión cientos de veces durante la noche. No perdí el acceso, pero estuve cerca, y me enseñó rápidamente que la seguridad de WordPress no es opcional.

Si necesitas proteger un sitio de WordPress, esta guía te muestra los pasos exactos que uso ahora: actualizaciones, inicios de sesión seguros, copias de seguridad, firewalls, SSL y más, todo sin tocar código.

Las apuestas son reales. Google pone en listas negras miles de sitios infectados cada día. Si tu sitio termina en esa lista, perderás tráfico de la noche a la mañana, y reconstruir esa confianza lleva meses. Los atacantes también pueden robar datos de clientes, inyectar enlaces de spam, propagar malware a tus visitantes o bloquearte hasta que pagues un rescate.

La buena noticia es que la mayoría de los hackeos explotan debilidades que se pueden prevenir. Sigue estos pasos y cerrarás la puerta a la gran mayoría de los ataques.

Amenazas comunes de seguridad de WordPress que debes conocer

Antes de sumergirte en las soluciones, es útil saber a qué te enfrentas. Estos son los tipos de ataques más comunes que se dirigen a los sitios de WordPress.

• Los ataques de fuerza bruta son scripts automatizados que prueban miles de combinaciones de nombre de usuario y contraseña contra tu página de inicio de sesión. Son la amenaza más común que enfrentan los sitios de WordPress y la más fácil de detener.
• El Cross-site scripting (XSS) permite a los atacantes inyectar JavaScript malicioso en las páginas de tu sitio. Los visitantes que cargan esas páginas pueden ver sus datos robados sin saber que ha ocurrido nada.
• La inyección SQL ocurre cuando un atacante envía código malicioso a través de un formulario o URL para manipular tu base de datos directamente. Una inyección SQL exitosa puede exponer todas las cuentas de usuario, contraseñas y contenido de tu sitio.
• Los ataques DDoS inundan tu servidor con tráfico falso hasta que se bloquea y se desconecta. No irrumpen; simplemente te cierran el acceso y hacen que tu sitio no esté disponible para los visitantes reales.
• La explotación de software obsoleto es la amenaza más evitable de esta lista. Los atacantes escanean activamente sitios que ejecutan versiones antiguas de WordPress, plugins o temas porque las vulnerabilidades conocidas están documentadas públicamente. Un plugin sin parches es una invitación abierta.

Cómo proteger tu sitio de WordPress: 11 pasos

1. Actualiza los archivos principales de WordPress para prevenir hackeos

Mantén WordPress actualizado. Es la forma más fácil de cerrar agujeros de seguridad conocidos.

El núcleo de WordPress, los plugins y los temas reciben actualizaciones periódicas, muchas de las cuales parchean vulnerabilidades. Las actualizaciones menores suelen instalarse automáticamente, pero deberás aplicar las actualizaciones importantes tú mismo. Ignorarlas deja tu sitio expuesto a ataques.

Revisa tu panel con frecuencia y actualiza tus plugins y temas tan pronto como las actualizaciones estén disponibles. Solo toma un clic y puede prevenir daños graves.

2. Elimina plugins y temas no utilizados para mejorar la seguridad

Elimina los plugins y temas que no uses. Cada archivo inactivo es otra vía de entrada para los hackers.

Incluso si un plugin o tema está desactivado, su código todavía existe en tu servidor. Los hackers pueden explotar software antiguo o abandonado para infiltrarse en tu sitio. Por eso las herramientas no utilizadas son un riesgo de seguridad.

Limpia tu sitio regularmente eliminando todo lo que no necesites. Esto mantiene tu instalación de WordPress ágil y más fácil de administrar, y es uno de los pasos de endurecimiento de WordPress más efectivos que puedes tomar sin herramientas.

3. Usa contraseñas y permisos seguros

Utiliza contraseñas únicas y seguras y limita el acceso a las cuentas. Los inicios de sesión débiles son la forma más fácil para que los hackers accedan.

Una contraseña segura debe tener al menos 12 caracteres de longitud e incluir una mezcla de mayúsculas, minúsculas, números y símbolos. Evita usar nombres, cumpleaños o cualquier cosa fácil de adivinar.

Usa un gestor de contraseñas para generar y almacenar contraseñas complejas. No tendrás que recordarlas y nunca reutilizarás la misma en diferentes cuentas.

Además, evita compartir la cuenta de administrador principal. Asigna roles y permisos de usuario para que cada persona solo tenga el acceso que necesita.

Para sitios con varios usuarios o computadoras compartidas, considera agregar un plugin de cierre de sesión automático como Inactive Logout. Finaliza las sesiones automáticamente después de un período de inactividad establecido, lo que reduce el riesgo si alguien olvida cerrar sesión.

Agregar un CAPTCHA a tu página de inicio de sesión es otra victoria de bajo esfuerzo para la seguridad de inicio de sesión de WordPress. Bloquea los envíos de bots antes de que intenten iniciar sesión. WPForms incluye protección contra spam incorporada que puedes usar en formularios en todo tu sitio.

4. Elige una empresa de hosting de WordPress segura

Tu proveedor de hosting es tu primera línea de defensa, así que elige un proveedor de hosting seguro para WordPress que proteja activamente tu sitio de ataques.

Las mejores empresas de hosting para WordPress como Bluehost, SiteGround y Hostinger incluyen capas de seguridad integradas para mantener a raya a los hackers.

• Monitorización 24/7 de actividades sospechosas
• Protección contra ataques DDoS a gran escala
• Software de servidor y versiones de PHP actualizados
• Sistemas de recuperación ante desastres y copias de seguridad

El hosting compartido puede poner tu sitio en riesgo si otro sitio en el mismo servidor es hackeado. Para una protección más sólida, considera el hosting de WordPress administrado. Incluye actualizaciones automáticas, copias de seguridad y funciones de seguridad avanzadas integradas.

5. Haz copias de seguridad de tu sitio de WordPress para recuperarte de hackeos

Una copia de seguridad confiable es tu red de seguridad. Te permite restaurar tu sitio rápidamente si los hackers, errores o fallos lo derriban.

Los mejores plugins de copias de seguridad para WordPress te permiten programar copias de seguridad automáticas y almacenarlas de forma segura fuera del sitio, para que nunca te quedes sin una copia funcional.

Las dos características que más importan: almacenamiento externo (para que tu copia de seguridad sobreviva incluso si tu hosting falla) y restauración con un clic (para que la recuperación tome minutos, no horas).

Los plugins populares incluyen Duplicator, UpdraftPlus, BlogVault y Jetpack VaultPress Backups. Son fáciles de usar para principiantes y no requieren codificación.

Protege la reputación de tu sitio durante un incidente de seguridad

Incluso con buena seguridad implementada, los sitios a veces se caen por mantenimiento, actualizaciones o limpieza después de un hackeo. Lo que los visitantes ven durante esa ventana importa.

Uso las páginas de "próximamente" y "modo de mantenimiento" de SeedProd para mostrar una página de espera limpia y de marca cada vez que mi sitio necesita estar fuera de línea.

En lugar de que los visitantes vean una página rota o una pantalla de error, ven algo profesional que mantiene su confianza intacta.

Si alguna vez necesitas poner tu sitio fuera de línea para limpiarlo después de un incidente de seguridad, SeedProd lo hace simple. Activa una página de mantenimiento con un clic, personalízala para que coincida con tu marca y vuelve a poner el sitio en línea en el momento en que estés listo. No se necesita código.

6. Elige el mejor plugin de seguridad para WordPress

Un plugin de seguridad es como tener un perro guardián para tu sitio. Escanea en busca de amenazas, bloquea ataques y te alerta si algo parece incorrecto.

Con el plugin adecuado, puedes monitorizar inicios de sesión fallidos, escanear en busca de malware y reforzar puntos débiles en WordPress sin tocar código.

Sucuri es mi opción preferida. Después de instalarlo, ve a Sucuri Security » Settings » Hardening y haz clic en “Apply Hardening” para cada opción. Estas configuraciones bloquean áreas que los hackers suelen atacar.

Otras excelentes opciones incluyen Wordfence y iThemes Security, ambas proporcionan firewalls, escaneos de malware y protección de inicio de sesión.

Elijas el plugin que elijas, configura un escaneo automático semanal de malware. La mayoría de los plugins de seguridad lo gestionan en la configuración. Si un escaneo detecta algo, restaura desde tu copia de seguridad limpia más reciente, contacta a tu proveedor de hosting o utiliza el servicio de eliminación de malware de Sucuri, que está incluido en sus planes de pago.

7. Bloquea a los hackers con un firewall de WordPress (WAF)

Un firewall detiene a los hackers antes de que lleguen a tu sitio filtrando el tráfico malicioso.

Existen dos tipos principales de firewalls para WordPress:

• Firewall a nivel de DNS: Filtra el tráfico a través de servidores en la nube seguros antes de que llegue a tu sitio.
• Firewall a nivel de aplicación: Comprueba el tráfico en tu servidor antes de cargar los scripts de WordPress.

Sucuri Firewall es una de las opciones más efectivas. Ayudó a WPBeginner a bloquear 450.000 ataques en 3 meses, lo que demuestra lo que un firewall a nivel de DNS puede hacer a gran escala.

Con Sucuri, también obtienes limpieza de malware y eliminación de listas negras. Si tu sitio es hackeado mientras lo usas, ellos lo arreglarán sin coste adicional. Ese es un servicio que vale mucho más que el precio de 199 $/año.

8. Desactivar la edición de archivos de WordPress

WordPress incluye un editor de archivos integrado en Apariencia > Editor de archivos del tema que te permite editar archivos PHP directamente desde el panel de control. Si un atacante obtiene acceso de administrador, ese editor se convierte en un problema grave.

Deshabilitarlo lleva 30 segundos y es uno de los pasos de endurecimiento de WordPress más efectivos que la mayoría de los principiantes omiten. Añade esta línea a tu archivo wp-config.php:

define('DISALLOW_FILE_EDIT', true);

Una vez añadido, el editor de archivos desaparece por completo de tu panel de control. Incluso si alguien accede a tu cuenta de administrador, no podrá usarlo para inyectar código malicioso en los archivos de tu tema.

9. Habilitar SSL/HTTPS para proteger los datos de WordPress

SSL/HTTPS cifra los datos entre tu sitio y los visitantes, lo que dificulta mucho que los hackers roben información.

Una vez que SSL esté activo, tu sitio mostrará HTTPS en lugar de HTTP, junto con un icono de candado en el navegador. Esto genera confianza y protege datos sensibles como inicios de sesión y pagos.

La mayoría de los proveedores de hosting ahora incluyen certificados SSL gratuitos a través de Let’s Encrypt. Si el tuyo no lo hace, puedes comprar uno en Domain.com, que incluye una garantía de seguridad de 10.000 $ y el sello TrustLogo.

Para obtener ayuda con la configuración, consulta mi guía sobre cómo añadir SSL a WordPress.

10. Detener ataques de fuerza bruta limitando los intentos de inicio de sesión

Limitar los intentos de inicio de sesión evita que los hackers adivinen tu contraseña una y otra vez hasta que consiguen entrar.

Cuando alguien introduce la contraseña incorrecta demasiadas veces, se le bloquea temporalmente el acceso a tu sitio. Este sencillo paso bloquea los ataques de fuerza bruta y te envía alertas cuando ocurre actividad sospechosa.

La forma más fácil es con el plugin gratuito Limit Login Attempts Reloaded. Te permite establecer el número de intentos fallidos permitidos y te envía un correo electrónico cada vez que falla un inicio de sesión.

Puedes llevar la seguridad de inicio de sesión de WordPress un paso más allá cambiando tu URL de inicio de sesión predeterminada. Los bots y scripts atacan /wp-login.php por defecto, por lo que cambiarla a algo personalizado detiene la mayoría de los ataques automatizados antes de que comiencen. Un plugin como WPS Hide Login se encarga de esto sin tocar código.

11. Usar autenticación de dos factores

La autenticación de dos factores (2FA) añade un candado adicional a tu inicio de sesión para que los hackers no puedan entrar solo con tu contraseña.

Con la 2FA, inicias sesión con tu nombre de usuario y contraseña, y luego confirmas un código de un solo uso enviado a tu teléfono o aplicación. Incluso si tu contraseña se filtra, los atacantes no podrán acceder a tu sitio sin ese segundo código.

Una opción gratuita es el plugin WordPress Two Factor Authentication. Después de instalarlo, ve a Two Factor Auth en tu panel, escanea el código QR con una aplicación como Google Authenticator, y listo.

La próxima vez que inicies sesión en WordPress, se te pedirá el código después de tu contraseña, manteniendo tu sitio a salvo de ataques de fuerza bruta.

Preguntas frecuentes sobre cómo asegurar tu sitio WordPress

¿Cómo cambio mi URL de inicio de sesión de WordPress para prevenir ataques de fuerza bruta?

Utiliza un plugin como WPS Hide Login para cambiar tu URL predeterminada /wp-login.php por una ruta personalizada. Esto detiene a los bots automatizados de encontrar tu página de inicio de sesión, ya que atacan la URL predeterminada por defecto.

La instalación lleva menos de un minuto. Ve a Ajustes > WPS Hide Login, introduce tu URL de inicio de sesión personalizada y guarda. Tu antigua URL de inicio de sesión devolverá un error 404 a cualquiera que la intente usar.

¿Cuál es el mejor plugin de seguridad de WordPress para principiantes?

Sucuri es la mejor opción para la mayoría de los principiantes porque combina un firewall, escaneo de malware, endurecimiento de inicios de sesión y eliminación profesional de malware en un solo lugar. La versión gratuita cubre lo básico; el plan de pago añade el firewall a nivel de DNS.

Wordfence es una sólida alternativa gratuita con un firewall y escáner integrados. Si tienes un presupuesto ajustado, Wordfence cubre la mayor parte de lo que necesitas sin pagar nada.

¿Cómo sé si mi sitio de WordPress ha sido hackeado?

Las señales de advertencia incluyen una caída repentina del tráfico, enlaces o contenido extraños que aparecen en tus páginas, una advertencia de Google en los resultados de búsqueda, tu host suspendiendo tu cuenta o que los visitantes sean redirigidos a otros sitios.

Ejecuta un escaneo gratuito en Sucuri SiteCheck para comprobar el estado del malware y las listas negras. La mayoría de los plugins de seguridad también incluyen escaneo de malware integrado que puedes ejecutar desde tu panel de control.

¿Necesito un plugin de seguridad si ya tengo un host de WordPress administrado?

El hosting administrado te proporciona protección a nivel de servidor, pero no lo cubre todo. Tu host no puede proteger contra contraseñas débiles, plugins vulnerables o ataques que explotan directamente tu aplicación de WordPress.

Un plugin de seguridad añade monitorización a nivel de aplicación, escaneo de malware y protección de inicios de sesión además de lo que proporciona tu host. Ambos trabajan juntos, no uno en lugar del otro.

Próximos pasos

Estos pasos cubren todo lo que necesitas para proteger tu sitio de WordPress de los hackers, sin necesidad de codificación. Empieza hoy mismo con las actualizaciones y contraseñas seguras, luego añade un plugin de seguridad, un firewall y 2FA.

Para más información, consulta estas guías:

• Los mejores plugins de multisitio de WordPress
• Cómo proteger con contraseña un sitio WordPress
• Los mejores plugins duplicadores de WordPress
• Cómo aceptar pagos seguros de Stripe en WordPress

¡Gracias por leer! Nos encantaría conocer tu opinión, así que no dudes en unirte a la conversación en YouTube, X y Facebook para obtener más consejos y contenido útil para hacer crecer tu negocio.