- Por qué WordPress es un objetivo frecuente
- Pasos para securizar WordPress correctamente
- Paso 1: Actualiza el núcleo, los plugins y los temas
- Paso 2: Cambia el usuario administrador por defecto
- Paso 3: Aplica contraseñas robustas y activa la autenticación en dos pasos
- Paso 4: Protege la URL de login
- Paso 5: Revisa los permisos de archivos y directorios
- Paso 6: Instala un plugin de seguridad con WAF
- Paso 7: Configura copias de seguridad automáticas y externas
- Paso 8: Activa HTTPS y fuerza el redireccionamiento SSL
- Mantener WordPress seguro no es un evento, es un proceso
- ¿Prefieres que lo hagamos nosotros?
Securizar WordPress no es una tarea puntual que se hace el día del lanzamiento y se olvida. Es un proceso que requiere configurar bien la instalación desde el principio y mantener activas varias capas de protección de forma continua. Esta guía recorre los pasos técnicos más importantes, en orden lógico de ejecución, para que cualquier propietario de un sitio WordPress —o el técnico que lo gestiona— pueda aplicarlos sin dar palos de ciego.
Si lo que buscas es delegar este trabajo por completo, al final del artículo encontrarás cómo puede ayudarte un servicio de mantenimiento WordPress profesional. Pero si quieres entender el «cómo», sigue leyendo.
Por qué WordPress es un objetivo frecuente
WordPress mueve más del 40 % de los sitios web del mundo. Eso lo convierte en el CMS más atacado, no porque sea inseguro por diseño, sino porque cualquier vulnerabilidad sin parchear en una instalación se multiplica en millones de webs simultáneamente. La mayoría de los compromisos de seguridad no vienen de ataques sofisticados: vienen de plugins desactualizados, contraseñas débiles y configuraciones por defecto que nunca nadie tocó.
Idea clave: Un WordPress seguro no es imposible de atacar, pero sí lo suficientemente costoso como para que los bots y scripts automatizados pasen al siguiente objetivo. El objetivo no es la invulnerabilidad, sino elevar el coste del ataque por encima del beneficio esperado.
Pasos para securizar WordPress correctamente
Paso 1: Actualiza el núcleo, los plugins y los temas
Antes de cualquier otra acción, actualiza WordPress a su última versión estable, junto con todos los plugins y temas activos. Según el equipo de seguridad oficial de WordPress, la gran mayoría de infecciones se producen a través de plugins y temas con vulnerabilidades conocidas y ya corregidas en versiones más recientes — es decir, sitios que simplemente no se han actualizado.
Resultado esperado: En el panel de WordPress (Escritorio → Actualizaciones) no debe quedar ningún aviso pendiente. Si algún plugin lleva meses sin actualizarse en el repositorio oficial, evalúa si vale la pena sustituirlo.
Paso 2: Cambia el usuario administrador por defecto
Si tu instalación todavía tiene un usuario llamado «admin», estás regalando la mitad del trabajo a cualquier ataque de fuerza bruta. Crea un nuevo usuario con rol de Administrador, inicia sesión con él, y elimina el usuario «admin» original asignando su contenido al nuevo.
Resultado esperado: En Usuarios → Todos los usuarios no debe existir ningún usuario con nombre de usuario «admin» ni variantes obvias como «administrator» o «webmaster».
Paso 3: Aplica contraseñas robustas y activa la autenticación en dos pasos
Una contraseña de más de 16 caracteres con mayúsculas, minúsculas, números y símbolos es el primer filtro real. Complementa esto con autenticación en dos factores (2FA) para todos los usuarios con rol de Editor o superior. Plugins como WP 2FA o Two Factor (disponible en el repositorio oficial de WordPress) permiten configurarlo en menos de diez minutos con cualquier app TOTP (Google Authenticator, Authy, etc.).
Resultado esperado: Al intentar iniciar sesión, el sistema pide un código temporal además de la contraseña. Cualquier acceso desde una cuenta comprometida queda bloqueado sin ese segundo factor.
Paso 4: Protege la URL de login
La URL wp-login.php y el directorio wp-admin son los puntos más escaneados por bots. Puedes reducir drásticamente el ruido de ataques automatizados aplicando dos medidas combinadas:
- Limitar intentos de acceso fallidos: el plugin Limit Login Attempts Reloaded bloquea IPs tras un número configurable de fallos consecutivos.
- Cambiar la URL de login: plugins como WPS Hide Login permiten mover el formulario a cualquier ruta personalizada, sin modificar archivos del núcleo.
Resultado esperado: Al acceder a tudominio.com/wp-login.php recibirás un error 404. Los logs del servidor mostrarán una caída notable en los intentos de acceso fallidos en las siguientes 24-48 horas.
Paso 5: Revisa los permisos de archivos y directorios
Los permisos incorrectos son una puerta lateral que muchos pasan por alto. La recomendación estándar, documentada por el propio equipo de WordPress, es:
| Elemento | Permiso recomendado |
|---|---|
| Archivos | 644 |
| Directorios | 755 |
| wp-config.php | 440 o 400 |
Puedes revisar y corregir estos permisos desde el gestor de archivos de tu hosting o por SFTP. El archivo wp-config.php merece especial atención: contiene las credenciales de la base de datos y no debería ser legible por otros usuarios del servidor.
Resultado esperado: Al comprobar los permisos con un cliente FTP (como FileZilla) o desde la terminal, todos los archivos y carpetas muestran los valores de la tabla. Ningún archivo tiene permiso 777.
Paso 6: Instala un plugin de seguridad con WAF
Un firewall de aplicaciones web (WAF) filtra las peticiones maliciosas antes de que lleguen a ejecutarse en tu instalación. Wordfence es la opción más extendida en WordPress: incluye WAF, escáner de malware, bloqueo por geolocalización y alertas en tiempo real. Su versión gratuita cubre la mayoría de necesidades de un sitio de tamaño medio; la versión premium añade actualizaciones de reglas en tiempo real (la versión gratuita las recibe con 30 días de retraso).
Resultado esperado: En el panel de Wordfence aparecen las reglas del firewall activas y el estado del escáner en verde. Recibirás alertas por email ante cualquier intento de acceso sospechoso.
Paso 7: Configura copias de seguridad automáticas y externas
Una copia de seguridad que vive en el mismo servidor que la web no protege frente a un compromiso total del hosting. Las copias deben guardarse en un destino externo: Google Drive, Amazon S3, Dropbox o similar. Plugins como UpdraftPlus o BackWPup permiten programar backups automáticos con destino externo en pocos minutos.
Define una cadencia realista según la frecuencia de cambios en tu web: para un blog que publica una vez a la semana, un backup semanal puede ser suficiente; para una tienda WooCommerce con pedidos diarios, lo recomendable es un backup diario de la base de datos.
Resultado esperado: En el destino externo elegido aparecen los archivos de backup con la fecha correspondiente. Realiza una restauración de prueba al menos una vez para confirmar que el backup es funcional.
Paso 8: Activa HTTPS y fuerza el redireccionamiento SSL
Si tu hosting ya incluye certificado SSL (la mayoría lo hace hoy con Let’s Encrypt), asegúrate de que toda la web sirve las páginas bajo HTTPS y que cualquier visita a HTTP se redirige automáticamente. En WordPress esto se gestiona desde la configuración del hosting y añadiendo las redirecciones correspondientes en el archivo .htaccess. También puedes forzarlo desde el plugin Really Simple SSL.
Resultado esperado: Al acceder a http://tudominio.com el navegador redirige automáticamente a https://tudominio.com. El candado verde (o el indicador de conexión segura) aparece en todas las páginas del sitio.
Mantener WordPress seguro no es un evento, es un proceso
Aplicar estos pasos una sola vez mejora mucho la situación, pero la seguridad real exige revisión continua: nuevas vulnerabilidades aparecen cada semana, los plugins se abandonan, y los entornos de hosting cambian. Por eso tiene sentido integrar estas comprobaciones en una rutina mensual o delegarlas a un equipo que ya tenga ese flujo automatizado.
Si quieres profundizar en el rendimiento además de la seguridad, el artículo sobre optimizar WordPress en velocidad y rendimiento complementa bien lo que has visto aquí.
¿Prefieres que lo hagamos nosotros?
En Seomarket gestionamos la seguridad de sitios WordPress como parte del servicio de mantenimiento mensual. Eso incluye: revisión y aplicación de actualizaciones del núcleo, plugins y temas; configuración del firewall y monitorización de alertas; backups automáticos en destino externo; y revisión periódica de permisos y accesos. Todo documentado y con reporte mensual para que sepas exactamente qué se ha hecho y en qué estado está tu web.
Trabajamos con negocios de Lleida y de otras provincias que necesitan una web WordPress segura y actualizada sin tener que ocuparse ellos mismos de la parte técnica.




