- Por qué se hackean tantas webs WordPress
- Pasos para securizar WordPress correctamente
- Paso 1: Mantén WordPress, plugins y temas siempre actualizados
- Paso 2: Configura copias de seguridad automáticas y verificadas
- Paso 3: Refuerza el acceso al panel de administración
- Paso 4: Instala un plugin de seguridad y configúralo bien
- Paso 5: Asegura la conexión con SSL y revisa los permisos de archivos
- Paso 6: Elimina lo que no usas y elige bien el hosting
- ¿Haces tú el mantenimiento o lo delega?
WordPress mueve más del 40 % de los sitios web del mundo, y precisamente por eso es el blanco favorito de los ataques automatizados. No importa si tienes un blog personal o la web de tu empresa: si no tomas medidas activas, es cuestión de tiempo que alguien lo intente. Esta guía recorre los pasos concretos para tener un WordPress seguro, sin tecnicismos innecesarios y en el orden que tiene sentido aplicarlos.
Idea clave: la seguridad en WordPress no es un estado, es un proceso continuo. Una web que hoy está bien configurada puede quedar expuesta mañana si aparece una vulnerabilidad nueva en un plugin sin actualizar. Por eso el mantenimiento regular no es opcional — es lo que separa una web protegida de una que solo parece estarlo.
Por qué se hackean tantas webs WordPress
La mayoría de los ataques exitosos no aprovechan fallos sofisticados: explotan descuidos evitables. Según el informe anual de seguridad de Patchstack, más del 97 % de las vulnerabilidades detectadas en WordPress provienen de plugins y temas desactualizados, no del núcleo de WordPress en sí. Los atacantes usan bots que rastrean miles de webs al día buscando versiones antiguas de plugins conocidos. Si la tuya aparece en ese radar, el ataque es automático.
Los vectores de entrada más habituales son: plugins o temas con vulnerabilidades conocidas, contraseñas débiles o reutilizadas, instalaciones abandonadas (webs que nadie actualiza), y hosting con configuraciones por defecto demasiado permisivas. Veamos cómo cerrar cada uno de esos frentes.
Pasos para securizar WordPress correctamente
Paso 1: Mantén WordPress, plugins y temas siempre actualizados
Accede a Escritorio → Actualizaciones y aplica cualquier actualización pendiente del núcleo, los plugins activos y el tema. Hazlo al menos una vez a la semana. Si tienes plugins premium, asegúrate de que tu licencia está activa — sin licencia no recibes actualizaciones de seguridad.
Antes de actualizar en producción, si tu web tiene mucho tráfico o un e-commerce activo, lo ideal es probar en un entorno de staging. Muchos hostings gestionados incluyen esta función. En webs más sencillas, actualizar directamente con una copia de seguridad reciente como red de seguridad es suficiente.
Resultado esperado: en el panel de actualizaciones no debería aparecer ningún elemento con aviso pendiente. Si ves un plugin que lleva meses sin actualizarse por parte de su desarrollador, valora sustituirlo.
Paso 2: Configura copias de seguridad automáticas y verificadas
Una copia de seguridad que no has probado restaurar no es una copia de seguridad real, es una ilusión de seguridad. Configura backups automáticos diarios que incluyan tanto la base de datos como los archivos, y almacénalos en un lugar externo al hosting (Google Drive, Dropbox, Amazon S3…).
Plugins como UpdraftPlus permiten programar copias automáticas y enviarlas a almacenamiento remoto sin coste en su versión gratuita. Para webs con ventas o reservas diarias, la frecuencia debería ser mayor — incluso varias veces al día.
Resultado esperado: tienes al menos las últimas 7 copias diarias almacenadas fuera del servidor, y has probado restaurar una de ellas en un entorno de prueba.
Paso 3: Refuerza el acceso al panel de administración
El formulario de login de WordPress (/wp-login.php) recibe intentos de acceso por fuerza bruta de forma constante. Hay varias capas que puedes activar:
- Cambia el usuario «admin»: si tu usuario administrador se llama «admin», crea uno nuevo con nombre distinto, asigna el rol de administrador, y elimina el original.
- Contraseña robusta y única: mínimo 16 caracteres, con números y símbolos. Nunca reutilices una contraseña de otro servicio.
- Autenticación en dos pasos (2FA): plugins como WP 2FA o Google Authenticator añaden una capa extra que bloquea el acceso aunque alguien tenga tu contraseña.
- Limita los intentos de login: un plugin como Limit Login Attempts Reloaded bloquea una IP tras varios intentos fallidos.
- Cambia la URL de login: mover
/wp-login.phpa una ruta personalizada reduce drásticamente el volumen de ataques automatizados.
Resultado esperado: el log de intentos de login fallidos cae notablemente y cualquier acceso nuevo al panel requiere verificación en dos pasos.
Paso 4: Instala un plugin de seguridad y configúralo bien
Un buen plugin de seguridad actúa como firewall de aplicación web (WAF), escáner de malware y monitor de actividad. Las opciones más consolidadas son Wordfence Security (muy completo en su versión gratuita) y Solid Security (antes iThemes Security). No instales los dos a la vez — generan conflictos.
Configura al menos: escaneo automático de archivos, alertas por email ante cambios críticos, y el firewall en modo activo. Revisa los logs de actividad cada semana para detectar comportamientos anómalos antes de que se conviertan en un problema.
Resultado esperado: recibes un informe semanal del estado de tu web y cualquier intento de acceso sospechoso genera una alerta inmediata.
Paso 5: Asegura la conexión con SSL y revisa los permisos de archivos
Si tu web todavía no tiene certificado SSL activo (HTTPS), es urgente. Además de ser un factor de confianza básico para los usuarios, Google penaliza en rankings las webs sin HTTPS. La mayoría de hostings incluyen Let’s Encrypt gratuito — actívalo desde el panel de hosting si no lo está ya.
Revisa también los permisos de archivos del servidor. Los valores recomendados son: carpetas a 755, archivos a 644, y el archivo wp-config.php a 440 o 400. Muchos ataques de inyección de código aprovechan permisos demasiado permisivos (777) que alguna vez se pusieron para «solucionar» un problema rápido y nunca se revirtieron.
Resultado esperado: la web carga en HTTPS sin advertencias del navegador y wp-config.php no es escribible desde el servidor web.
Paso 6: Elimina lo que no usas y elige bien el hosting
Cada plugin inactivo que no desinstallas es una superficie de ataque potencial. Desinstala (no solo desactiva) todos los plugins y temas que no uses. Revisa también si tienes instalaciones antiguas de WordPress en subdirectorios que ya nadie mantiene — son las más vulnerables de todas.
El hosting importa más de lo que parece. Un hosting compartido mal configurado puede comprometer tu web aunque hayas hecho todo lo demás bien. Busca uno que ofrezca aislamiento entre cuentas, actualizaciones automáticas del servidor, y monitorización activa de malware a nivel de servidor.
Resultado esperado: en la pantalla de plugins solo aparecen los que realmente están en uso y activos. La instalación de WordPress está limpia y sin restos de versiones antiguas.
¿Haces tú el mantenimiento o lo delega?
Seguir estos pasos en una instalación es asumible. Mantenerlos de forma consistente mes a mes, en paralelo a gestionar tu negocio, ya es otra historia. Muchos negocios locales que trabajan con nosotros llegan después de un hackeo que les costó días de caída, pérdida de clientes y una limpieza de malware urgente que resultó mucho más cara que cualquier servicio de mantenimiento preventivo.
Si prefieres delegar esta parte, en seomarket nos encargamos del mantenimiento web WordPress de forma recurrente: actualizaciones, backups verificados, monitorización de seguridad, revisión de rendimiento y soporte técnico incluido. Sin sorpresas y con un profesional que conoce tu web.
Si además tu web necesita mejoras más profundas a nivel técnico o de visibilidad, puedes complementarlo con nuestro servicio de posicionamiento SEO en Lleida: una web segura y bien posicionada es el punto de partida para que el canal digital funcione de verdad.




