{"id":453,"date":"2026-05-29T10:40:00","date_gmt":"2026-05-29T08:40:00","guid":{"rendered":"https:\/\/blumhost.net\/blog\/?p=453"},"modified":"2026-05-27T19:43:26","modified_gmt":"2026-05-27T17:43:26","slug":"proteger-wordpress-hackeos-malware-checklist","status":"publish","type":"post","link":"https:\/\/blumhost.net\/blog\/proteger-wordpress-hackeos-malware-checklist\/","title":{"rendered":"Proteger WordPress de hackeos: checklist 2026"},"content":{"rendered":"\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_74 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Tabla de Contenidos<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Alternar tabla de contenidos\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/blumhost.net\/blog\/proteger-wordpress-hackeos-malware-checklist\/#Por_que_WordPress_es_el_CMS_mas_hackeado_del_mundo_y_lo_que_eso_significa_para_ti\" >Por qu\u00e9 WordPress es el CMS m\u00e1s hackeado del mundo (y lo que eso significa para ti)<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/blumhost.net\/blog\/proteger-wordpress-hackeos-malware-checklist\/#Medidas_del_servidor_que_dependen_de_tu_hosting\" >Medidas del servidor (que dependen de tu hosting)<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/blumhost.net\/blog\/proteger-wordpress-hackeos-malware-checklist\/#1_Usa_un_hosting_con_WAF_y_proteccion_activa\" >1. Usa un hosting con WAF y protecci\u00f3n activa<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/blumhost.net\/blog\/proteger-wordpress-hackeos-malware-checklist\/#2_Manten_PHP_actualizado\" >2. Mant\u00e9n PHP actualizado<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/blumhost.net\/blog\/proteger-wordpress-hackeos-malware-checklist\/#3_Activa_las_copias_de_seguridad_automaticas\" >3. Activa las copias de seguridad autom\u00e1ticas<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/blumhost.net\/blog\/proteger-wordpress-hackeos-malware-checklist\/#Medidas_en_WordPress_que_puedes_aplicar_hoy\" >Medidas en WordPress (que puedes aplicar hoy)<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/blumhost.net\/blog\/proteger-wordpress-hackeos-malware-checklist\/#4_Actualiza_siempre_WordPress_plugins_y_temas\" >4. Actualiza siempre WordPress, plugins y temas<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/blumhost.net\/blog\/proteger-wordpress-hackeos-malware-checklist\/#5_Elimina_plugins_y_temas_que_no_uses\" >5. Elimina plugins y temas que no uses<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/blumhost.net\/blog\/proteger-wordpress-hackeos-malware-checklist\/#6_Cambia_el_usuario_administrador_%C2%ABadmin%C2%BB\" >6. Cambia el usuario administrador \u00abadmin\u00bb<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/blumhost.net\/blog\/proteger-wordpress-hackeos-malware-checklist\/#7_Usa_contrasenas_largas_y_unicas\" >7. Usa contrase\u00f1as largas y \u00fanicas<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-11\" href=\"https:\/\/blumhost.net\/blog\/proteger-wordpress-hackeos-malware-checklist\/#8_Activa_la_autenticacion_de_dos_factores_2FA\" >8. Activa la autenticaci\u00f3n de dos factores (2FA)<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-12\" href=\"https:\/\/blumhost.net\/blog\/proteger-wordpress-hackeos-malware-checklist\/#9_Limita_los_intentos_de_login_fallidos\" >9. Limita los intentos de login fallidos<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-13\" href=\"https:\/\/blumhost.net\/blog\/proteger-wordpress-hackeos-malware-checklist\/#10_Cambia_la_URL_de_acceso_al_panel\" >10. Cambia la URL de acceso al panel<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-14\" href=\"https:\/\/blumhost.net\/blog\/proteger-wordpress-hackeos-malware-checklist\/#11_Desactiva_XML-RPC_si_no_lo_necesitas\" >11. Desactiva XML-RPC si no lo necesitas<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-15\" href=\"https:\/\/blumhost.net\/blog\/proteger-wordpress-hackeos-malware-checklist\/#12_Protege_el_archivo_wp-configphp\" >12. Protege el archivo wp-config.php<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-16\" href=\"https:\/\/blumhost.net\/blog\/proteger-wordpress-hackeos-malware-checklist\/#13_Oculta_la_version_de_WordPress\" >13. Oculta la versi\u00f3n de WordPress<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-17\" href=\"https:\/\/blumhost.net\/blog\/proteger-wordpress-hackeos-malware-checklist\/#14_Instala_un_plugin_de_seguridad_con_escaneo_de_malware\" >14. Instala un plugin de seguridad con escaneo de malware<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-18\" href=\"https:\/\/blumhost.net\/blog\/proteger-wordpress-hackeos-malware-checklist\/#15_Comprueba_los_permisos_de_archivos\" >15. Comprueba los permisos de archivos<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-19\" href=\"https:\/\/blumhost.net\/blog\/proteger-wordpress-hackeos-malware-checklist\/#Mi_WordPress_ya_esta_hackeado_que_hacer\" >Mi WordPress ya est\u00e1 hackeado: qu\u00e9 hacer<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-20\" href=\"https:\/\/blumhost.net\/blog\/proteger-wordpress-hackeos-malware-checklist\/#El_papel_del_hosting_en_la_seguridad_de_WordPress\" >El papel del hosting en la seguridad de WordPress<\/a><\/li><\/ul><\/nav><\/div>\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Por_que_WordPress_es_el_CMS_mas_hackeado_del_mundo_y_lo_que_eso_significa_para_ti\"><\/span>Por qu\u00e9 WordPress es el CMS m\u00e1s hackeado del mundo (y lo que eso significa para ti)<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">WordPress tiene una cuota de mercado superior al 43% de toda la web. Es el CMS m\u00e1s popular con diferencia, y eso lo convierte en el objetivo m\u00e1s atacado. No porque sea inseguro por dise\u00f1o, sino porque su popularidad lo hace el objetivo m\u00e1s rentable para los atacantes.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">La mayor\u00eda de hackeos en WordPress no son ataques dirigidos a ti espec\u00edficamente. Son ataques automatizados que escanean millones de webs buscando vulnerabilidades conocidas: versiones de plugins sin actualizar, contrase\u00f1as d\u00e9biles, configuraciones por defecto o temas con c\u00f3digo malicioso.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">La buena noticia: la mayor\u00eda de ataques exitosos se evitan con medidas b\u00e1sicas que no requieren ser t\u00e9cnico. Este checklist te lleva por las m\u00e1s importantes.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Medidas_del_servidor_que_dependen_de_tu_hosting\"><\/span>Medidas del servidor (que dependen de tu hosting)<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"1_Usa_un_hosting_con_WAF_y_proteccion_activa\"><\/span>1. Usa un hosting con WAF y protecci\u00f3n activa<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Un WAF (Web Application Firewall) filtra el tr\u00e1fico malicioso antes de que llegue a tu WordPress. No es algo que instalas en WordPress \u2014 vive en el servidor. Muchos ataques de inyecci\u00f3n SQL, XSS y fuerza bruta se bloquean en esta capa antes de que WordPress lo vea siquiera.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">El\u00a0<a href=\"https:\/\/blumhost.net\/hosting-wordpress\" target=\"_blank\" rel=\"noreferrer noopener\">hosting WordPress de BlumHost<\/a>\u00a0incluye CloudLinux con protecci\u00f3n de firewall en todos los planes. Esto a\u00f1ade una capa de aislamiento entre tu WordPress y otros usuarios del servidor, evitando que un problema en una cuenta afecte a las dem\u00e1s.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"2_Manten_PHP_actualizado\"><\/span>2. Mant\u00e9n PHP actualizado<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">PHP 7.x tiene vulnerabilidades de seguridad conocidas y ya no recibe actualizaciones de seguridad. PHP 8.2 o superior es m\u00e1s r\u00e1pido y m\u00e1s seguro. Puedes cambiar la versi\u00f3n de PHP desde cPanel \u2192 PHP Version Selector en pocos clics.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"3_Activa_las_copias_de_seguridad_automaticas\"><\/span>3. Activa las copias de seguridad autom\u00e1ticas<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Las copias de seguridad no evitan hackeos, pero son tu red de seguridad si ocurren. Con un backup reciente, restaurar un WordPress comprometido es cuesti\u00f3n de minutos. Sin backup, puede ser catastr\u00f3fico.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">BlumHost realiza copias autom\u00e1ticas diarias almacenadas en segunda ubicaci\u00f3n en todos los planes.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Medidas_en_WordPress_que_puedes_aplicar_hoy\"><\/span>Medidas en WordPress (que puedes aplicar hoy)<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"4_Actualiza_siempre_WordPress_plugins_y_temas\"><\/span>4. Actualiza siempre WordPress, plugins y temas<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">El 60% de los hackeos en WordPress se deben a plugins con vulnerabilidades conocidas. Los plugins desactualizados tienen exploits p\u00fablicos que los bots explotan de forma automatizada.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Regla b\u00e1sica: actualiza WordPress core, todos los plugins y el tema activo al menos una vez por semana. Activa las actualizaciones autom\u00e1ticas para releases de seguridad en WordPress (Ajustes \u2192 Actualizaciones).<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"5_Elimina_plugins_y_temas_que_no_uses\"><\/span>5. Elimina plugins y temas que no uses<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Un plugin desactivado pero instalado sigue siendo un vector de ataque. Si no lo usas, b\u00f3rralo completamente. Lo mismo aplica a temas: mant\u00e9n solo el activo y uno de reserva (Twenty Twenty-X).<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"6_Cambia_el_usuario_administrador_%C2%ABadmin%C2%BB\"><\/span>6. Cambia el usuario administrador \u00abadmin\u00bb<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">El nombre de usuario \u00abadmin\u00bb es el primero que prueban los ataques de fuerza bruta. Si tu usuario administrador se llama \u00abadmin\u00bb, crea uno nuevo con nombre diferente, as\u00edgnale el rol de administrador, inicia sesi\u00f3n con \u00e9l y borra el usuario \u00abadmin\u00bb original.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"7_Usa_contrasenas_largas_y_unicas\"><\/span>7. Usa contrase\u00f1as largas y \u00fanicas<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Una contrase\u00f1a de 12 caracteres con may\u00fasculas, min\u00fasculas, n\u00fameros y s\u00edmbolos es exponencialmente m\u00e1s dif\u00edcil de romper por fuerza bruta que una de 8 caracteres. Usa el generador de contrase\u00f1as de WordPress o un gestor como Bitwarden o 1Password.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"8_Activa_la_autenticacion_de_dos_factores_2FA\"><\/span>8. Activa la autenticaci\u00f3n de dos factores (2FA)<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">El 2FA a\u00f1ade una segunda capa de verificaci\u00f3n al login: aunque alguien tenga tu contrase\u00f1a, no puede entrar sin el c\u00f3digo temporal de tu m\u00f3vil. Plugins como&nbsp;<strong>WP 2FA<\/strong>&nbsp;o&nbsp;<strong>Two Factor Authentication<\/strong>&nbsp;lo implementan de forma sencilla y gratuita.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"9_Limita_los_intentos_de_login_fallidos\"><\/span>9. Limita los intentos de login fallidos<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Por defecto, WordPress permite intentos de login ilimitados. Un ataque de fuerza bruta puede probar miles de contrase\u00f1as por hora. Instala un plugin como&nbsp;<strong>Limit Login Attempts Reloaded<\/strong>&nbsp;para bloquear IPs tras un n\u00famero de intentos fallidos.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"10_Cambia_la_URL_de_acceso_al_panel\"><\/span>10. Cambia la URL de acceso al panel<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La URL est\u00e1ndar de WordPress es&nbsp;<code>\/wp-admin<\/code>&nbsp;o&nbsp;<code>\/wp-login.php<\/code>. Los bots saben esto y concentran sus ataques en esas URLs. Cambiarla por algo no est\u00e1ndar (ej:&nbsp;<code>\/acceso-privado-2026<\/code>) elimina de golpe la mayor\u00eda del tr\u00e1fico de bots al panel.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Plugins como&nbsp;<strong>WPS Hide Login<\/strong>&nbsp;hacen esto sin tocar c\u00f3digo.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"11_Desactiva_XML-RPC_si_no_lo_necesitas\"><\/span>11. Desactiva XML-RPC si no lo necesitas<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">XML-RPC es una API antigua de WordPress que permite interacciones remotas. La mayor\u00eda de webs no la necesitan, pero los atacantes la usan para ataques de fuerza bruta (un solo intento puede probar cientos de contrase\u00f1as) y DDoS amplificados.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Si no usas Jetpack ni aplicaciones m\u00f3viles de WordPress, desact\u00edvala. Con plugins como&nbsp;<strong>Disable XML-RPC<\/strong>&nbsp;o a\u00f1adiendo esto al&nbsp;<code>.htaccess<\/code>:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># Bloquear XML-RPC\n&lt;files xmlrpc.php&gt;\n  order allow,deny\n  deny from all\n&lt;\/files&gt;<\/code><\/pre>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"12_Protege_el_archivo_wp-configphp\"><\/span>12. Protege el archivo wp-config.php<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\"wp-block-paragraph\"><code>wp-config.php<\/code>&nbsp;contiene las credenciales de tu base de datos. A\u00f1ade esto en tu&nbsp;<code>.htaccess<\/code>&nbsp;para bloquearlo desde el exterior:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>&lt;files wp-config.php&gt;\n  order allow,deny\n  deny from all\n&lt;\/files&gt;<\/code><\/pre>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"13_Oculta_la_version_de_WordPress\"><\/span>13. Oculta la versi\u00f3n de WordPress<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Por defecto, WordPress incluye la versi\u00f3n en el c\u00f3digo fuente de cada p\u00e1gina (<code>&lt;meta name=\"generator\"&gt;<\/code>). Esto permite a los bots saber si usas una versi\u00f3n con vulnerabilidades conocidas. Elim\u00ednalo a\u00f1adiendo al&nbsp;<code>functions.php<\/code>&nbsp;de tu tema hijo:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>remove_action('wp_head', 'wp_generator');<\/code><\/pre>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"14_Instala_un_plugin_de_seguridad_con_escaneo_de_malware\"><\/span>14. Instala un plugin de seguridad con escaneo de malware<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Plugins como&nbsp;<strong>Wordfence<\/strong>&nbsp;(versi\u00f3n gratuita) o&nbsp;<strong>Sucuri Security<\/strong>&nbsp;escanean tu WordPress en busca de archivos modificados, c\u00f3digo malicioso y vulnerabilidades conocidas. Tambi\u00e9n monitorizan intentos de acceso y cambios en archivos cr\u00edticos.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"15_Comprueba_los_permisos_de_archivos\"><\/span>15. Comprueba los permisos de archivos<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Los permisos incorrectos en archivos y carpetas abren vulnerabilidades. Los valores correctos en un servidor Linux con WordPress:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Carpetas:\u00a0<code>755<\/code><\/li>\n\n\n\n<li>Archivos:\u00a0<code>644<\/code><\/li>\n\n\n\n<li><code>wp-config.php<\/code>:\u00a0<code>640<\/code>\u00a0o\u00a0<code>600<\/code><\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Puedes revisar y corregir permisos desde cPanel \u2192 Administrador de archivos o por SSH con el comando&nbsp;<code>find . -type f -exec chmod 644 {} \\;<\/code><\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Mi_WordPress_ya_esta_hackeado_que_hacer\"><\/span>Mi WordPress ya est\u00e1 hackeado: qu\u00e9 hacer<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Si sospechas que tu WordPress est\u00e1 comprometido, act\u00faa r\u00e1pido:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Pon el sitio en modo mantenimiento<\/strong>\u00a0para que los visitantes no sean afectados mientras limpias<\/li>\n\n\n\n<li><strong>Cambia todas las contrase\u00f1as<\/strong>: WordPress, FTP, base de datos, panel de hosting, email de administrador<\/li>\n\n\n\n<li><strong>Restaura una copia de seguridad limpia<\/strong>\u00a0anterior al hackeo si la tienes<\/li>\n\n\n\n<li><strong>Escanea con Wordfence o Sucuri<\/strong>\u00a0para identificar los archivos comprometidos<\/li>\n\n\n\n<li><strong>Actualiza todo<\/strong>: WordPress, plugins y temas al completar la limpieza<\/li>\n\n\n\n<li><strong>Contacta con el soporte de tu hosting<\/strong>: pueden ayudarte a identificar el origen del ataque y tienen acceso a logs del servidor que t\u00fa no ves<\/li>\n<\/ol>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p class=\"wp-block-paragraph\"><strong>\u26a0\ufe0f Importante:<\/strong>&nbsp;si restauras un backup limpio sin identificar c\u00f3mo entraron, volver\u00e1n a entrar. El paso 4 (identificar el vector de ataque) es cr\u00edtico para evitar la reinfecci\u00f3n.<\/p>\n<\/blockquote>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"El_papel_del_hosting_en_la_seguridad_de_WordPress\"><\/span>El papel del hosting en la seguridad de WordPress<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Puedes tener WordPress perfectamente configurado, pero si el servidor tiene vulnerabilidades, la seguridad tiene un l\u00edmite. Un buen hosting de WordPress proporciona:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Aislamiento entre cuentas (CloudLinux) para que un vecino comprometido no afecte tu web<\/li>\n\n\n\n<li>WAF a nivel de servidor que filtra ataques antes de que lleguen a WordPress<\/li>\n\n\n\n<li>Copias de seguridad autom\u00e1ticas que te permiten restaurar r\u00e1pido<\/li>\n\n\n\n<li>PHP actualizado disponible<\/li>\n\n\n\n<li>Soporte t\u00e9cnico que conoce el entorno y puede ayudarte ante incidentes<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">El\u00a0<a href=\"https:\/\/blumhost.net\/hosting\" target=\"_blank\" rel=\"noreferrer noopener\">hosting de BlumHost<\/a>\u00a0incluye todos estos elementos. La seguridad de tu WordPress empieza en la infraestructura sobre la que corre.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Por qu\u00e9 WordPress es el CMS m\u00e1s hackeado del mundo (y lo que eso significa para ti) WordPress tiene una cuota de mercado superior al 43% de toda la web. Es el CMS m\u00e1s popular con diferencia, y eso lo&hellip;<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[77,59,75],"tags":[67,119],"class_list":["post-453","post","type-post","status-publish","format-standard","hentry","category-guias-para-principiantes","category-seguridad-web","category-wordpress","tag-wordpress","tag-wordpress-seguro"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v25.8 - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>Proteger WordPress de hackeos: checklist 2026 - Blog de BlumHost<\/title>\n<meta name=\"description\" content=\"Gu\u00eda con 15 medidas concretas para proteger tu WordPress de hackeos, malware y accesos no autorizados. Checklist listo para aplicar hoy con y sin plugins.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/blumhost.net\/blog\/proteger-wordpress-hackeos-malware-checklist\/\" \/>\n<meta property=\"og:locale\" content=\"es_ES\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Proteger WordPress de hackeos: checklist 2026 - Blog de BlumHost\" \/>\n<meta property=\"og:description\" content=\"Gu\u00eda con 15 medidas concretas para proteger tu WordPress de hackeos, malware y accesos no autorizados. Checklist listo para aplicar hoy con y sin plugins.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/blumhost.net\/blog\/proteger-wordpress-hackeos-malware-checklist\/\" \/>\n<meta property=\"og:site_name\" content=\"Blog de BlumHost\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/BlumHost\" \/>\n<meta property=\"article:published_time\" content=\"2026-05-29T08:40:00+00:00\" \/>\n<meta name=\"author\" content=\"Miguel Taboada\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Escrito por\" \/>\n\t<meta name=\"twitter:data1\" content=\"Miguel Taboada\" \/>\n\t<meta name=\"twitter:label2\" content=\"Tiempo de lectura\" \/>\n\t<meta name=\"twitter:data2\" content=\"6 minutos\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/blumhost.net\/blog\/proteger-wordpress-hackeos-malware-checklist\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/blumhost.net\/blog\/proteger-wordpress-hackeos-malware-checklist\/\"},\"author\":{\"name\":\"Miguel Taboada\",\"@id\":\"https:\/\/blumhost.net\/blog\/#\/schema\/person\/33aa890af362ded38723fc4c1ef65ee7\"},\"headline\":\"Proteger WordPress de hackeos: checklist 2026\",\"datePublished\":\"2026-05-29T08:40:00+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/blumhost.net\/blog\/proteger-wordpress-hackeos-malware-checklist\/\"},\"wordCount\":1220,\"commentCount\":0,\"publisher\":{\"@id\":\"https:\/\/blumhost.net\/blog\/#organization\"},\"keywords\":[\"wordpress\",\"wordpress seguro\"],\"articleSection\":[\"Gu\u00edas para principiantes\",\"Seguridad Web\",\"WordPress\"],\"inLanguage\":\"es\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\/\/blumhost.net\/blog\/proteger-wordpress-hackeos-malware-checklist\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/blumhost.net\/blog\/proteger-wordpress-hackeos-malware-checklist\/\",\"url\":\"https:\/\/blumhost.net\/blog\/proteger-wordpress-hackeos-malware-checklist\/\",\"name\":\"Proteger WordPress de hackeos: checklist 2026 - Blog de BlumHost\",\"isPartOf\":{\"@id\":\"https:\/\/blumhost.net\/blog\/#website\"},\"datePublished\":\"2026-05-29T08:40:00+00:00\",\"description\":\"Gu\u00eda con 15 medidas concretas para proteger tu WordPress de hackeos, malware y accesos no autorizados. Checklist listo para aplicar hoy con y sin plugins.\",\"breadcrumb\":{\"@id\":\"https:\/\/blumhost.net\/blog\/proteger-wordpress-hackeos-malware-checklist\/#breadcrumb\"},\"inLanguage\":\"es\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/blumhost.net\/blog\/proteger-wordpress-hackeos-malware-checklist\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/blumhost.net\/blog\/proteger-wordpress-hackeos-malware-checklist\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Portada\",\"item\":\"https:\/\/blumhost.net\/blog\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Proteger WordPress de hackeos: checklist 2026\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/blumhost.net\/blog\/#website\",\"url\":\"https:\/\/blumhost.net\/blog\/\",\"name\":\"Blog de BlumHost\",\"description\":\"Gu\u00eda completa con consejos pr\u00e1cticos, precios y ventajas reales para tu proyecto.\",\"publisher\":{\"@id\":\"https:\/\/blumhost.net\/blog\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/blumhost.net\/blog\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"es\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/blumhost.net\/blog\/#organization\",\"name\":\"Blog de BlumHost\",\"url\":\"https:\/\/blumhost.net\/blog\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"es\",\"@id\":\"https:\/\/blumhost.net\/blog\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/blumhost.net\/blog\/wp-content\/uploads\/2025\/05\/cropped-blumhost.webp\",\"contentUrl\":\"https:\/\/blumhost.net\/blog\/wp-content\/uploads\/2025\/05\/cropped-blumhost.webp\",\"width\":240,\"height\":67,\"caption\":\"Blog de BlumHost\"},\"image\":{\"@id\":\"https:\/\/blumhost.net\/blog\/#\/schema\/logo\/image\/\"},\"sameAs\":[\"https:\/\/www.facebook.com\/BlumHost\"]},{\"@type\":\"Person\",\"@id\":\"https:\/\/blumhost.net\/blog\/#\/schema\/person\/33aa890af362ded38723fc4c1ef65ee7\",\"name\":\"Miguel Taboada\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"es\",\"@id\":\"https:\/\/blumhost.net\/blog\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/bf9731b74ae636e457ef0ddcebbeb20f37a75f89668501ce0a80767a29e02722?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/bf9731b74ae636e457ef0ddcebbeb20f37a75f89668501ce0a80767a29e02722?s=96&d=mm&r=g\",\"caption\":\"Miguel Taboada\"},\"description\":\"Ingeniero en Telecomunicaciones e Inform\u00e1tica. Cre\u00e9 BlumHost para ofrecer un hosting distinto a los dem\u00e1s, que ofrezca la mejor atenci\u00f3n al cliente, al menor precio y con la mejor calidad.\",\"sameAs\":[\"https:\/\/blumhost.net\/\",\"https:\/\/es.linkedin.com\/in\/miguel-taboada-iglesias\"],\"url\":\"https:\/\/blumhost.net\/blog\/author\/miguel\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Proteger WordPress de hackeos: checklist 2026 - Blog de BlumHost","description":"Gu\u00eda con 15 medidas concretas para proteger tu WordPress de hackeos, malware y accesos no autorizados. Checklist listo para aplicar hoy con y sin plugins.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/blumhost.net\/blog\/proteger-wordpress-hackeos-malware-checklist\/","og_locale":"es_ES","og_type":"article","og_title":"Proteger WordPress de hackeos: checklist 2026 - Blog de BlumHost","og_description":"Gu\u00eda con 15 medidas concretas para proteger tu WordPress de hackeos, malware y accesos no autorizados. Checklist listo para aplicar hoy con y sin plugins.","og_url":"https:\/\/blumhost.net\/blog\/proteger-wordpress-hackeos-malware-checklist\/","og_site_name":"Blog de BlumHost","article_publisher":"https:\/\/www.facebook.com\/BlumHost","article_published_time":"2026-05-29T08:40:00+00:00","author":"Miguel Taboada","twitter_card":"summary_large_image","twitter_misc":{"Escrito por":"Miguel Taboada","Tiempo de lectura":"6 minutos"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/blumhost.net\/blog\/proteger-wordpress-hackeos-malware-checklist\/#article","isPartOf":{"@id":"https:\/\/blumhost.net\/blog\/proteger-wordpress-hackeos-malware-checklist\/"},"author":{"name":"Miguel Taboada","@id":"https:\/\/blumhost.net\/blog\/#\/schema\/person\/33aa890af362ded38723fc4c1ef65ee7"},"headline":"Proteger WordPress de hackeos: checklist 2026","datePublished":"2026-05-29T08:40:00+00:00","mainEntityOfPage":{"@id":"https:\/\/blumhost.net\/blog\/proteger-wordpress-hackeos-malware-checklist\/"},"wordCount":1220,"commentCount":0,"publisher":{"@id":"https:\/\/blumhost.net\/blog\/#organization"},"keywords":["wordpress","wordpress seguro"],"articleSection":["Gu\u00edas para principiantes","Seguridad Web","WordPress"],"inLanguage":"es","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/blumhost.net\/blog\/proteger-wordpress-hackeos-malware-checklist\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/blumhost.net\/blog\/proteger-wordpress-hackeos-malware-checklist\/","url":"https:\/\/blumhost.net\/blog\/proteger-wordpress-hackeos-malware-checklist\/","name":"Proteger WordPress de hackeos: checklist 2026 - Blog de BlumHost","isPartOf":{"@id":"https:\/\/blumhost.net\/blog\/#website"},"datePublished":"2026-05-29T08:40:00+00:00","description":"Gu\u00eda con 15 medidas concretas para proteger tu WordPress de hackeos, malware y accesos no autorizados. Checklist listo para aplicar hoy con y sin plugins.","breadcrumb":{"@id":"https:\/\/blumhost.net\/blog\/proteger-wordpress-hackeos-malware-checklist\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/blumhost.net\/blog\/proteger-wordpress-hackeos-malware-checklist\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/blumhost.net\/blog\/proteger-wordpress-hackeos-malware-checklist\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Portada","item":"https:\/\/blumhost.net\/blog\/"},{"@type":"ListItem","position":2,"name":"Proteger WordPress de hackeos: checklist 2026"}]},{"@type":"WebSite","@id":"https:\/\/blumhost.net\/blog\/#website","url":"https:\/\/blumhost.net\/blog\/","name":"Blog de BlumHost","description":"Gu\u00eda completa con consejos pr\u00e1cticos, precios y ventajas reales para tu proyecto.","publisher":{"@id":"https:\/\/blumhost.net\/blog\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/blumhost.net\/blog\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Organization","@id":"https:\/\/blumhost.net\/blog\/#organization","name":"Blog de BlumHost","url":"https:\/\/blumhost.net\/blog\/","logo":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/blumhost.net\/blog\/#\/schema\/logo\/image\/","url":"https:\/\/blumhost.net\/blog\/wp-content\/uploads\/2025\/05\/cropped-blumhost.webp","contentUrl":"https:\/\/blumhost.net\/blog\/wp-content\/uploads\/2025\/05\/cropped-blumhost.webp","width":240,"height":67,"caption":"Blog de BlumHost"},"image":{"@id":"https:\/\/blumhost.net\/blog\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/BlumHost"]},{"@type":"Person","@id":"https:\/\/blumhost.net\/blog\/#\/schema\/person\/33aa890af362ded38723fc4c1ef65ee7","name":"Miguel Taboada","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/blumhost.net\/blog\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/bf9731b74ae636e457ef0ddcebbeb20f37a75f89668501ce0a80767a29e02722?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/bf9731b74ae636e457ef0ddcebbeb20f37a75f89668501ce0a80767a29e02722?s=96&d=mm&r=g","caption":"Miguel Taboada"},"description":"Ingeniero en Telecomunicaciones e Inform\u00e1tica. Cre\u00e9 BlumHost para ofrecer un hosting distinto a los dem\u00e1s, que ofrezca la mejor atenci\u00f3n al cliente, al menor precio y con la mejor calidad.","sameAs":["https:\/\/blumhost.net\/","https:\/\/es.linkedin.com\/in\/miguel-taboada-iglesias"],"url":"https:\/\/blumhost.net\/blog\/author\/miguel\/"}]}},"_links":{"self":[{"href":"https:\/\/blumhost.net\/blog\/wp-json\/wp\/v2\/posts\/453","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blumhost.net\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blumhost.net\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blumhost.net\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blumhost.net\/blog\/wp-json\/wp\/v2\/comments?post=453"}],"version-history":[{"count":1,"href":"https:\/\/blumhost.net\/blog\/wp-json\/wp\/v2\/posts\/453\/revisions"}],"predecessor-version":[{"id":454,"href":"https:\/\/blumhost.net\/blog\/wp-json\/wp\/v2\/posts\/453\/revisions\/454"}],"wp:attachment":[{"href":"https:\/\/blumhost.net\/blog\/wp-json\/wp\/v2\/media?parent=453"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blumhost.net\/blog\/wp-json\/wp\/v2\/categories?post=453"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blumhost.net\/blog\/wp-json\/wp\/v2\/tags?post=453"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}