Guías para principiantes , Seguridad Web , WordPress

Proteger WordPress de hackeos: checklist 2026

Por qué WordPress es el CMS más hackeado del mundo (y lo que eso significa para ti)

WordPress tiene una cuota de mercado superior al 43% de toda la web. Es el CMS más popular con diferencia, y eso lo convierte en el objetivo más atacado. No porque sea inseguro por diseño, sino porque su popularidad lo hace el objetivo más rentable para los atacantes.

La mayoría de hackeos en WordPress no son ataques dirigidos a ti específicamente. Son ataques automatizados que escanean millones de webs buscando vulnerabilidades conocidas: versiones de plugins sin actualizar, contraseñas débiles, configuraciones por defecto o temas con código malicioso.

La buena noticia: la mayoría de ataques exitosos se evitan con medidas básicas que no requieren ser técnico. Este checklist te lleva por las más importantes.

Medidas del servidor (que dependen de tu hosting)

1. Usa un hosting con WAF y protección activa

Un WAF (Web Application Firewall) filtra el tráfico malicioso antes de que llegue a tu WordPress. No es algo que instalas en WordPress — vive en el servidor. Muchos ataques de inyección SQL, XSS y fuerza bruta se bloquean en esta capa antes de que WordPress lo vea siquiera.

El hosting WordPress de BlumHost incluye CloudLinux con protección de firewall en todos los planes. Esto añade una capa de aislamiento entre tu WordPress y otros usuarios del servidor, evitando que un problema en una cuenta afecte a las demás.

2. Mantén PHP actualizado

PHP 7.x tiene vulnerabilidades de seguridad conocidas y ya no recibe actualizaciones de seguridad. PHP 8.2 o superior es más rápido y más seguro. Puedes cambiar la versión de PHP desde cPanel → PHP Version Selector en pocos clics.

3. Activa las copias de seguridad automáticas

Las copias de seguridad no evitan hackeos, pero son tu red de seguridad si ocurren. Con un backup reciente, restaurar un WordPress comprometido es cuestión de minutos. Sin backup, puede ser catastrófico.

BlumHost realiza copias automáticas diarias almacenadas en segunda ubicación en todos los planes.

Medidas en WordPress (que puedes aplicar hoy)

4. Actualiza siempre WordPress, plugins y temas

El 60% de los hackeos en WordPress se deben a plugins con vulnerabilidades conocidas. Los plugins desactualizados tienen exploits públicos que los bots explotan de forma automatizada.

Regla básica: actualiza WordPress core, todos los plugins y el tema activo al menos una vez por semana. Activa las actualizaciones automáticas para releases de seguridad en WordPress (Ajustes → Actualizaciones).

5. Elimina plugins y temas que no uses

Un plugin desactivado pero instalado sigue siendo un vector de ataque. Si no lo usas, bórralo completamente. Lo mismo aplica a temas: mantén solo el activo y uno de reserva (Twenty Twenty-X).

6. Cambia el usuario administrador «admin»

El nombre de usuario «admin» es el primero que prueban los ataques de fuerza bruta. Si tu usuario administrador se llama «admin», crea uno nuevo con nombre diferente, asígnale el rol de administrador, inicia sesión con él y borra el usuario «admin» original.

7. Usa contraseñas largas y únicas

Una contraseña de 12 caracteres con mayúsculas, minúsculas, números y símbolos es exponencialmente más difícil de romper por fuerza bruta que una de 8 caracteres. Usa el generador de contraseñas de WordPress o un gestor como Bitwarden o 1Password.

8. Activa la autenticación de dos factores (2FA)

El 2FA añade una segunda capa de verificación al login: aunque alguien tenga tu contraseña, no puede entrar sin el código temporal de tu móvil. Plugins como WP 2FA o Two Factor Authentication lo implementan de forma sencilla y gratuita.

9. Limita los intentos de login fallidos

Por defecto, WordPress permite intentos de login ilimitados. Un ataque de fuerza bruta puede probar miles de contraseñas por hora. Instala un plugin como Limit Login Attempts Reloaded para bloquear IPs tras un número de intentos fallidos.

10. Cambia la URL de acceso al panel

La URL estándar de WordPress es /wp-admin o /wp-login.php. Los bots saben esto y concentran sus ataques en esas URLs. Cambiarla por algo no estándar (ej: /acceso-privado-2026) elimina de golpe la mayoría del tráfico de bots al panel.

Plugins como WPS Hide Login hacen esto sin tocar código.

11. Desactiva XML-RPC si no lo necesitas

XML-RPC es una API antigua de WordPress que permite interacciones remotas. La mayoría de webs no la necesitan, pero los atacantes la usan para ataques de fuerza bruta (un solo intento puede probar cientos de contraseñas) y DDoS amplificados.

Si no usas Jetpack ni aplicaciones móviles de WordPress, desactívala. Con plugins como Disable XML-RPC o añadiendo esto al .htaccess:

# Bloquear XML-RPC
<files xmlrpc.php>
  order allow,deny
  deny from all
</files>

12. Protege el archivo wp-config.php

wp-config.php contiene las credenciales de tu base de datos. Añade esto en tu .htaccess para bloquearlo desde el exterior:

<files wp-config.php>
  order allow,deny
  deny from all
</files>

13. Oculta la versión de WordPress

Por defecto, WordPress incluye la versión en el código fuente de cada página (<meta name="generator">). Esto permite a los bots saber si usas una versión con vulnerabilidades conocidas. Elimínalo añadiendo al functions.php de tu tema hijo:

remove_action('wp_head', 'wp_generator');

14. Instala un plugin de seguridad con escaneo de malware

Plugins como Wordfence (versión gratuita) o Sucuri Security escanean tu WordPress en busca de archivos modificados, código malicioso y vulnerabilidades conocidas. También monitorizan intentos de acceso y cambios en archivos críticos.

15. Comprueba los permisos de archivos

Los permisos incorrectos en archivos y carpetas abren vulnerabilidades. Los valores correctos en un servidor Linux con WordPress:

  • Carpetas: 755
  • Archivos: 644
  • wp-config.php640 o 600

Puedes revisar y corregir permisos desde cPanel → Administrador de archivos o por SSH con el comando find . -type f -exec chmod 644 {} \;

Mi WordPress ya está hackeado: qué hacer

Si sospechas que tu WordPress está comprometido, actúa rápido:

  1. Pon el sitio en modo mantenimiento para que los visitantes no sean afectados mientras limpias
  2. Cambia todas las contraseñas: WordPress, FTP, base de datos, panel de hosting, email de administrador
  3. Restaura una copia de seguridad limpia anterior al hackeo si la tienes
  4. Escanea con Wordfence o Sucuri para identificar los archivos comprometidos
  5. Actualiza todo: WordPress, plugins y temas al completar la limpieza
  6. Contacta con el soporte de tu hosting: pueden ayudarte a identificar el origen del ataque y tienen acceso a logs del servidor que tú no ves

⚠️ Importante: si restauras un backup limpio sin identificar cómo entraron, volverán a entrar. El paso 4 (identificar el vector de ataque) es crítico para evitar la reinfección.

El papel del hosting en la seguridad de WordPress

Puedes tener WordPress perfectamente configurado, pero si el servidor tiene vulnerabilidades, la seguridad tiene un límite. Un buen hosting de WordPress proporciona:

  • Aislamiento entre cuentas (CloudLinux) para que un vecino comprometido no afecte tu web
  • WAF a nivel de servidor que filtra ataques antes de que lleguen a WordPress
  • Copias de seguridad automáticas que te permiten restaurar rápido
  • PHP actualizado disponible
  • Soporte técnico que conoce el entorno y puede ayudarte ante incidentes

El hosting de BlumHost incluye todos estos elementos. La seguridad de tu WordPress empieza en la infraestructura sobre la que corre.

Miguel Taboada

Ingeniero en Telecomunicaciones e Informática. Creé BlumHost para ofrecer un hosting distinto a los demás, que ofrezca la mejor atención al cliente, al menor precio y con la mejor calidad.

Ver todas las entradas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *