Guía de buenas prácticas para asegurar tu instalación de WordPress
WordPress es el CMS más utilizado del mundo y, por ello, también uno de los objetivos preferidos por los atacantes. A continuación encontrarás un protocolo básico (pero esencial) para reforzar la seguridad de cualquier instalación WordPress. Sigue los pasos en todas tus webs y revísalos periódicamente.
1. Mantén el core de WordPress actualizado
- Ve a Escritorio → Actualizaciones y aplica la última versión estable.
- Activa actualizaciones automáticas (disponible desde WP 5.6) o, si prefieres control manual, establece recordatorios mensuales.
- Las versiones menores (parches de seguridad) se instalan solas; las mayores pueden requerir tu aprobación.
2. Actualiza plugins y plantillas
- Comprueba el panel de Actualizaciones como mínimo cada semana.
- Habilita actualizaciones automáticas individuales para los plugins de confianza.
- Revisa la compatibilidad con tu versión de WordPress antes de actualizar plantillas personalizadas.
3. Desinstala plugins sin uso
- Los plugins inactivos siguen presentes en el disco y pueden contener vulnerabilidades.
- En Plugins → Plugins instalados elimina todo aquello que no utilices.
- No basta con desactivar; haz clic en Eliminar para que desaparezcan los archivos.
4. Elimina plugins sin desarrollo activo
- En la página del repositorio oficial comprueba la fecha de la última actualización.
- Si han pasado más de 12 meses sin cambios, busca alternativas con soporte.
- Un plugin abandonado suele ser la puerta de entrada a ataques de día cero.
5. Activa la autenticación de doble factor (2FA)
- Instala un plugin como Two-Factor, WP 2FA o Wordfence Login Security.
- Configura TOTP (Google Authenticator, Authy o Microsoft Authenticator) para todos los usuarios con rol de Administrador y Editor.
- Guarda los códigos de recuperación en un lugar seguro (gestor de contraseñas).
6. Ejecuta un análisis de seguridad
- Instala Wordfence o Sucuri Security.
- En el primer arranque realiza un escaneo completo (Full Scan) para detectar archivos modificados, malware o backdoors.
- Programa análisis regulares (diarios o semanales) y habilita alertas por correo.
7. Refuerza aún más la instalación (recomendado)
- HTTPS obligatorio: instala un certificado Let’s Encrypt y fuerza la redirección.
- Permisos de archivos:
755para directorios,644para archivos,440/400parawp-config.php. - Cambia la URL de acceso (
/wp-login.php) con WPS Hide Login o iThemes Security. - Limita intentos de inicio de sesión (Wordfence, Limit Login Attempts Reloaded).
- Desactiva XML-RPC si no usas Jetpack ni publicaciones remotas.
8. Checklist rápido
| Tarea | Frecuencia |
|---|---|
| Actualizar WordPress core | Automático / tras versión mayor |
| Actualizar plugins y temas | Semanal |
| Eliminar plugins inactivos/abandonados | Mensual |
| Verificar 2FA en usuarios | Al crear usuario / Trimestral |
| Ejecutar escaneo Wordfence/Sucuri | Diario (programado) |
| Comprobar copias de seguridad | Semanal |
Conclusión
La seguridad de WordPress es un proceso continuo. Mantener el núcleo, los plugins y las plantillas actualizados, deshacerse de extensiones innecesarias y aplicar doble factor de autenticación son pasos críticos que detendrán la mayoría de los ataques automatizados. Complementa estos hábitos con análisis de seguridad frecuentes y copias de respaldo fiables.
¿Dudas o necesites ayuda para implementar alguna de estas medidas? Contacta con nuestro equipo de soporte y te guiaremos paso a paso.
