Cómo proteger WordPress: 15 consejos para prevenir ataques en tu web

Más de 50.000 sitios web reciben ataques cada día. ¿Sabes cómo proteger WordPress?

Mucha gente cree que solo las webs de grandes empresas están en el punto de mira de los hackers.

Es una idea equivocada.

Tanto si eres un gigante de internet como si acabas de empezar, tu web es un caramelo. De hecho, los sitios más vulnerables son los más jóvenes. Por eso, si no quieres ser víctima de ciberatacantes y ver cómo se desvanece tu esfuerzo con un simple clic, necesitas aprender las nociones básicas de protección en WordPress.

Tranquilo, porque los pasos que te recomiendo dar en este artículo podrás realizarlos sin problemas, aunque no tengas un perfil técnico ni tengas conocimientos de ciberseguridad.

¿Te preocupa la seguridad de tu web y de tus datos? Entonces sigue leyendo para descubrir los 15 mejores consejos que puedo darte como sherpa tecnológico para proteger WordPress.

Por qué  debes proteger WordPress

Dime una cosa: ¿cuánto tiempo has dedicado hasta ahora a crear tu web, aprender cómo instalar WordPress, saber qué plugins son los mejores, conocer las estrategias más eficaces para ganar visibilidad y mejorar el SEO?

Muchas, ¿verdad?

Ahora dime: ¿cuántas horas has invertido en fortalecer la seguridad de tu web?

No tantas.

Pues como sherpa tecnológico debo decirte que has dado prioridad a acciones que no requieren tanto tu atención.

Piénsalo.

¿De qué te sirve hacer todo eso si tiene brechas de seguridad por todos lados? Yo te respondo: no te sirve de nada, porque en el momento en el que recibas un ataque, todo tu proyecto caerá como un castillo de naipes.

Y no estoy hablando de recibir la visita de hackers profesionales (que también). Más bien me refiero a ataques de este tipo:

  • Ataques de fuerza bruta: un ataque de fuerza bruta se produce cuando prueban contraseñas hasta dar con la tuya. Existen diccionarios con miles de contraseñas posibles que, casualmente, usan el 73% de los usuarios de WordPress.
  • Ataques de psicología social: recibes un email en el que te dicen que han detectado un problema en tu cuenta y te piden usuario y contraseña. Los remitentes suelen resultar familiares, por eso la gente cae en la trampa con facilidad.
  • Aprovechamiento de vulnerabilidades: me refiero a los agujeros de seguridad de la tecnología que usamos en nuestra web. Por ejemplo, vulnerabilidades XSS, MySQL exploits o fallos en código php.
  • Ataque DDoS o de denegación de servicio: ocurre cuando tu sitio recibe tantas peticiones de acceso que te echan el servidor abajo.
  • Spam SEO: tus posts se llenan de enlaces ocultos con el fin de posicionar webs fraudulentas, pero serás tú (y no esas webs) quien aparezca en las listas negras.

Podríamos seguir bastante tiempo, pero espero que con estos poquitos ejemplos sea suficiente para concienciarte de la importancia de proteger WordPress.

15 acciones para proteger WordPress y convertir tu web en una fortaleza inexpugnable

Ahora, sí, vamos a ver qué te recomiendo hacer para tener una web a prueba de bombas.

Cambia el nombre de usuario de acceso a WordPress

¿Accedes a tu sitio con el típico «admin» o «administrador» que viene por defecto en WordPress?

Pues muy mal, chiquillo.

Esto es lo primero que tienes que cambiar. Tener estos nombres es como tener un cartel luminoso que dice: «Las puertas de mi web están abiertas, atacantes».

¿Qué nombre debes usar en su lugar? El que quieras, menos «admin», «administrador» o similares.

Utiliza una contraseña fuerte

Otra puerta grande de acceso a tu web es la contraseña.

Existen diccionarios con miles de contraseñas frecuentes. Así que para proteger WordPress, tendrás que elegir una que sea fuerte y lo más difícil posible de hackear.

Tu nombre, tu fecha de nacimiento o el nombre de tus mascotas NO son contraseñas fuertes.

Una buena contraseña es la que se caracteriza por:

  • Tener más de 8 caracteres. 
  • Alternar mayúsculas y minúsculas. 
  • Incluir números y símbolos.

Cuanto más aleatoria sea, mejor.

Por ejemplo, una contraseña fuerte es algo como: A%ftg*49R#

Por cierto, la protección de usuarios no solo debes implementarla en el caso del administrador, sino en todos los usuarios que tengan acceso a tu WordPress.

Una contraseña para cada sitio

Ahora que tienes una contraseña fuerte, no cometas el megacomún error de tener la misma para acceder a toooooodas tus cuentas: WordPress, correo electrónico, redes sociales…

Si consiguen descifrar tu contraseña, tendrán la puerta abierta a todos tus sitios.

Como ves, tener una única contraseña es como ser un cervatillo indefenso en mitad de la sabana africana y estar rodeado de leonas en época de sequía.

Sé lo que estás pensando: ¿cómo vas a memorizar un montón de contraseñas?

¡No tienes que hacerlo!

Existen herramientas que hacen ese trabajo por ti. Tú solo creas una maestra de la que te tienes que acordar y la aplicación guarda y recuerda por ti todas las demás. 🙂

Te recomiendo que uses alguna de estas:

  • LastPass: aunque tiene versión de pago, basta con usar la gratuita. Es compatible con todos los sistemas operativos habituales, aplicaciones móvil y extensiones de navegadores. Una maravilla.
  • 1Password: solo tiene versión de pago, pero me gusta mucho porque te permite almacenar las contraseñas en un fichero cifrado propio o en tu cuenta de Dropbox.
  • Dashlane: es completamente gratis y puedes guardar tus contraseñas de manera local. Una buena alternativa a 1Password si LastPass no te convence.
  • Keepass: parecida a 1Password, pero tiene el inconveniente de que tendrás que instalar los plugins para los navegadores y sincronizar tú mismo las contraseñas entre dispositivos.

Además de esto, te recomiendo que NUNCA compartas tus contraseñas con nadie y no las apuntes en lugares en los que es fácil encontrarlas.

Mantén actualizado tanto tu WordPress como los plugins que utilizas

Para proteger WordPress como es debido, mantenlo actualizado siempre en la última versión, porque las versiones obsoletas son puntos de fuga de seguridad.

Esto es válido tanto para la versión de WordPress como para los plugins que tienes instalados.

Borra los themes que no utilices

¿Aún conservas los temas que instalaste antes de decidir cuál sería el que usarías en la web de tu negocio?

Pues que sepas que esta es otra brecha de seguridad. Ocurre lo mismo que comentábamos con la importancia de mantener actualizado tu WordPress.

Todo lo que no estés usando y que, además, está desactualizado, ¡elimínalo! Esta acción es rápida y sencilla, así que no tienes excusa para seguir guardando cosas innecesarias.

¡A hacer limpieza ahora mismo! 😉

Protege el archivo de configuración de WordPress wp-config.php

El archivo wp-config.php, que se encuentra en la raíz de nuestro sitio web, guarda información muy importante, por lo que hay que protegerlo de todo intento de acceso externo.

Tranquilo porque no es una tarea compleja y lo harás en unos pocos minutos, pues solo tienes que agregar un código en el archivo .htaccess, que también está en la raíz de tu WordPress.

En concreto, solo hay que incluir al final del archivo .htaccess esto:

Guarda los cambios y con esta sencilla acción conseguirás denegar el acceso al archivo wp-config.php a todos los usuarios, que es justo lo que buscamos.

Además, debes estar pendiente a los cambios que se produzcan en ficheros de tu WordPress.

Limita los intentos de acceso

De lo que se trata es de evitar los intentos masivos de acceso a través de la pantalla de login de WordPress, es decir poner un límite de veces que se puede fallar al intentar acceder al panel de administración.

Limitar el límite de acceso es una manera de proteger WordPress de ataques de fuerza bruta.

Y es tan fácil como instalar un plugin, tal y como te cuento en este artículo.

También puedes instalar uno de los plugins que verás en el siguiente punto.

Además de proteger WordPress, estarás limitando los accesos. Veamos a qué plugins me refiero.

Instala un plugin de seguridad

Para proteger WordPress en condiciones, necesitas un plugin de seguridad.

¿Cuál puedes usar?

Por ejemplo, estos 2:

  • BBQ Pro: es un cortafuegos para evitar ataques a WordPress. Lo instalas, lo ejecutas y te olvidas. Muy fácil.
  • iThemes Security Pro: fácil y completo. Tanto, que ofrece una treintena de formas para proteger WordPress. Es un veterano en seguridad y lo demuestra.

Como te decía antes, con cualquier de estos plugins, también podrás limitar los intentos de acceso. Eso sí, revisa la configuración y asegúrate de que esta opción está activa.

En iThemes Security Pro, lo ves aquí:

Proteger-wordpress-configuracion-ithemes-security

Como medida extra de seguridad para proteger WordPress, activa la verificación en dos pasos.

Protege tu ordenador

Tener un equipo informático sano es fundamental para que tus entornos de trabajo (entre ellos, tu web) estén a salvo.

Por eso, es fundamental que instales un buen antivirus, que salvaguarde tu ordenador de virus, malware e infecciones indeseables.

Hay muchas opciones en el mercado. Si quieres que te recomiende alguno, apostaría por Karpesky, Avast y BitDefender.

Uses el sistema operativo que uses, necesitas proteger tu ordenador, pero si eres usuario de Windows, es más necesario que comer.

Si utilizas Mac o Linux, no te creas el mito de que son inexpugnables, porque no es cierto. Que sean sistemas menos atractivos para los hackers no quiere decir que estén a salvo de sufrir ataques.

Como medidas adicionales para proteger tu equipo informático, ten en cuenta estas recomendaciones:

  • No abras adjuntos de correos de remitentes desconocidos: puedes ver comprometida tu seguridad o sufrir un secuestro de datos. Y si recibes adjuntos de un remitente conocido, pero no esperas nada, sé cauto.
  • Instala y usa solo herramientas y aplicaciones con buena reputación y que tenga reseñas de bloggers independientes.
  • No uses conexiones wifi públicas. 

Descarga plugins solo de sitios seguros

Esta recomendación tiene mucha relación con la que acabamos de comentar.

Si haces una búsqueda rápida en internet, verás que hay cientos y cientos de plugins para WordPress. Pero ni todos son necesarios ni todos son fiables.

Descarga e instala solo los que de verdad necesites y hazlo si el lugar de la descarga es segura.

El repositorio oficial de WordPress es el lugar más seguro tanto para descargar plugins como plantillas. Las versiones están actualizadas y comprobadas, así que no hay peligro al acecho (o se reduce drásticamente).

Ten a mano copias de seguridad recientes

Nadie está libre de recibir un ataque o sufrir una infección.

Cuando tengas que hacer frente a una incidencia grave, respirarás tranquilo si sabes que tienes una copia de seguridad reciente a mano.

Descubre en este post cómo realizar copias de seguridad de tu web de forma sencilla. 

Hay muchos plugins que hacen el trabajo por ti sin que tú tengas que preocuparte. Personalmente, uso UpdraftPlus. Tiene una versión de pago (la que yo utilizo), pero puedes utilizar la gratuita porque es suficiente.

Contrata un hosting de confianza

Puedes instalar mil plugins de seguridad y actualizar tu WorPress, pero ¿de qué te servirá si el lugar donde está alojada es un nido de víboras?

Para proteger WordPress, debes hacerlo desde los cimientos. Y los cimientos se encuentran en tu hosting.

¿Adónde quiero llegar?

A que contrates un proveedor de hosting de calidad.

No solo debe importante el precio (los buenos no son caros), sino los servicios que ofrecen. Entre los servicios que deben importante, la seguridad es un pilar básico.

Confía en alojamientos que hagan copias de seguridad y que te garanticen buenos estándares de seguridad.

Para mí, los mejores son Webempresa y Raiola Networks.

¿Estás pensando en cambiar de hosting?

Echa un vistazo a esta comparativa de hostings para que tomes la decisión adecuada

Vigila la información que compartes en redes sociales

¿Qué tienen que ver las redes sociales con la protección de tu WordPress?

Pues más de lo que imaginas.

Para empezar, ya sabes que no debes utilizar la misma contraseña para acceder a tus perfiles sociales que a tu administrador de WordPress.

Por otro lado, ten cuidado con la información que compartes y con quién la compartes. Jamás envíes a nadie información de contraseñas o datos que puedan vulnerar la seguridad de tu web o de tu equipo informático. Y menos lo hagas con desconocidos.

Cualquier brecha de seguridad en tu entorno puede convertirse en una vía de entrada a ataques y brechas de seguridad.

¡No te fíes!

Protégete del spam

Borrar los comentarios de spam y mantener a los spmmers a raya consume tiempo y energías que no puedes utilizar para otras cosas más productivas.

Y lo cierto es que evitar el spam es una medida necesaria, porque además de menguar tu credibilidad como profesional, tu blog puede acabar plagado de enlaces no deseados y los hackers pueden utilizar los formularios de comentarios para inyectar código malicioso y comprometer la seguridad de tu sistema.

Para protegerte, utiliza algún plugin anti-spam.

Si quieres una recomendación, aquí te dejo una comparativa de los mejores plugins anti-spam y cómo decidir cuál instalar en tu web.

Crea una cuenta en Google Search Console

Además de ser una herramienta muy útil para obtener datos de analítica web, Google Search Console sirve para proteger WordPress.

Al tener una cuenta en esta herramienta, Google te informará de:

  • Últimas actualizaciones de WordPress.
  • Inyecciones de código que se hayan producido en tu web.
  • Problemas e incidencias relacionadas con la usabilidad.
  • Problemas de carga y velocidad.

¿Quieres que ayude a blindar la tecnología de tu negocio online?

Podemos construir unos muros inexpugnables. Y además, me encargaré de ser el vigía que vela por que ningún enemigo ni riesgo acechen. ¿Te cuento cómo voy a hacerlo?

¡Sí! Blinda mi negocio online

Y ahora que conoces los pasos esenciales para proteger WordPress, cuéntame: ¿qué nivel de seguridad tiene tu web ahora mismo? ¿Conocías estos consejos? ¿Has sufrido ya algún ataque? Te espero en los comentarios.

12 comentarios en “Cómo proteger WordPress: 15 consejos para prevenir ataques en tu web”

  1. ¡Ufff qué mal cuerpo me has dejado! Tengo pendiente desde no sé cuando hacer algunos cambios que has mencionado, pero como no son cosas que interfieran en mi día a día…hasta que pase algo, claro está.

    El otro día solo por medir la velocidad de carga con Pingdom varias veces, Webempresa me bloqueo la cuenta por seguridad. En ese momento fue cuando volví a acordarme de todo esto.

    Me pongo al lío. Gracias Javier.

    1. Hola CArolina! No te quedes con mala sensación, y ponte manos a la obra!. La seguridad es algo que dejamos siempre de lado. Son cosas que tenemos que hacer de manera proactiva, y nos acostumbramos a ir al día a día, y solo trabajar bajo reacción. Pero en este caso, cuando lo pierdas todo puede ser tarde (aunque casi siempre hay solución).

      Ponte manos a la obra, y con 4 ajustes, te podrás sentir mucho más segura.

  2. Hola Javier.

    Muy buen artículo. La seguridad es un gran problema que tengo a menudo con mis clientes. No sé por qué tienen en la cabeza que no tienen que actualizar. Que algo se va a estropear. Yo les digo que si usan plugins y temas contrastados y de confianza no hay ningún problema.

    Me gustaría añadir algo al primer punto, el del usuario admin. Existe un pequeño ajuste que no es común cambiarlo y que deja a la vista el usuario que usamos en nuestro WordPress.

    Se trata del nombre de usuario público. Se cambia en el menú Usuarios, Tu perfil. Dentro hay que buscar la opción «Mostrar este nombre públicamente». Hay que elegir uno que no coincida con el usuario real. Es un ajuste muy sencillo pero que puede quitarnos muchos problemas.

    Comparto el post ahora mismo. Un abrazo.

    1. Hola Juan.

      El tema de actualizaciones me da muchos quebraderos de cabeza. Me llegan webs, todavía con wordpress 3.9 por ejemplo, porque en su día, su diseñador, le dijo que no actualizase. Por si se desmonta algo. Y es que en verdad, hay webs, que si actualizas, se desmontan. Hay que buscar buenos profesionales, que diseñen webs con herramientas y sistemas estándar y buenas prácticas, para que no se den esos problemas.

      Buen detalle el del cambiar el «nicename» o nombre visible del usuario. Lo lógico es que se muestre tu nombre, y no tu nombre de usuario (que no tienen porque coincidir).

      Un fuerte abrazo, y gracias por compartir.

  3. Hola Javier, Este post me ha leido la mente ya que casualmente estaba trabajando en la seguridad de algunos sitios incluido mi propio blog.

    el item de proteger el fichero wp-config no lo tenia en la lista, asi que me lo tomo para mi jeje.

    Desde ya ha quedado en la lista de articulos de referencia.

  4. Hola Javier,

    ¡qué contenta me ha dejado tu post!

    Yo soy diseñadora web, no controlo mucho de redes, de seguridad ni de programación… lo justo para pasar el día. Pero me gusta mucho leer e ir aplicando cosas. Y siempre que tengo un problema intento resolverlo por mí misma antes de acudir a nadie: no por ahorrar, sino por aprender.

    Y lo cierto es que realizo todas las acciones que aconsejas… creo que voy por el buen camino si trabajo en el mismo sentido que un experto como tú.

    Yo, por mi parte, añadiría algo que no incluyes explícitamente: HUYE DE LO GRATUITO.

    Si tienes un tema gratuito en tu WordPress te expones a que no funcione correctamente con las últimas versiones de la plataforma y a tener agujeros de seguridad.

    Remodelar completamente tu sitio de vez en cuando no es sólo bueno para tu imagen corporativa – parece más cuidada y moderna – sino también para usar themes compatibles con las últimas versiones de WP y con todos los estándares de seguridad.

    Los plugins los uso tanto gratuitos como de pago, pero de vez en cuando hago una revisión de cuándo fue la última vez que se actualizaron, pues quizás haga falta sustituirlo por otro más moderno. La cuestión del todo gratis es que una persona a la que no se le paga no va a estar haciendo actualizaciones toda su vida, la vida da muchas vueltas!!!

    Espero haber aportado algo útil, tal como tú haces siempre!

    1. Totalmente de acuerdo Maria.

      Gratuitos hay muy buenos plugins, pero en temas el soporte esta un poco más caído. Al fin y al cabo, si trabajas con Genesis Framework, GeneratePress, Divi,… tendrás siempre mucho más soporte y documentación que con cualquier tema gratuito, y casi que con cualquier tema de Themeforest (cuidado también con lo que se compra en Envato).

      E incluso los plugins como dices hay que revisarlos, y un plugin que no responde nadie al soporte, o no se actualice desde hace mas de un año, da que sospechar, y no lo usaría. Y si no se actualiza desde hace dos años, ¡directamente fuera!

      Gracias por tu aporte.

      Un fuerte abrazo.

  5. Hola Javier!! Muchas gracias por el artículo es algo que justamente estaba buscando ya que últimamente me han notificado de bloqueos a mi wordpress por intentos fallidos de inicio de sesión a raras horas de la madrugada jeje. La verdad que nosotros tenemos los pludgins en versión gratuita tanto updraftplus y ithemes security. Aunque el ajustes de estos no los hemos tocado, ahora con lo que explicas hemos modificado eso de fuerza bruta. No nos ha quedado muy claro este punto: Protege el archivo de configuración de WordPress wp-config.php
    ¿Cómo sé donde se encuentra la raíz de nuestra web? jeje
    Muchas gracias nuevamente, un abrazo desde Bolivia

    1. Hola Gabriela.

      Recibir notificaciones de bloqueos es muy normal. Eso significa que el plugin hace su trabajo. En principio con los gratuitos que tienes es suficiente y más si estas en un buen hosting.

      La raíz de tu web depende de tu servidor. Normalmente, si accedes por FTP, será la carpeta public_html. Es la misma, donde puedes ver los directorios wp-admin. wp-content,… ahí encontrarás ese fichero. Pero si no sabes, casi mejor dejarlo como está, y tampoco va a ser tan grave.

      Un abrazo.

  6. Hola Javier,

    Muchas gracias por el aporte. Un checklist muy bueno para revisar la seguridad de nuestra web cada cierto tiempo.

    En mi caso, utilizo el plugin «Loginizer» para los ataques de fuerza bruta, donde puedes ajustar incluso el límite de intentos para acceder a tu WordPress. Además, si alguna IP sospechosa ha intentado acceder a tu panel con anterioridad, puedes establecerla en una lista negra.

    Por otro lado, te dejo por aquí un plugin que me recomendaron y uso también a día de hoy: «Admin Block Country».

    Con éste, puedes bloquear todos los países del mundo que tu quieras, para que no puedan acceder a tu Admin. Yo solo tengo activo España, que es donde estoy ahora mismo. Te lo dejo por aquí por si quieres echarle un ojo.

    Un saludo 🙂

    1. Hola Jessica.

      El plugin de Admin Block Country me parece de lo más interesante. Es algo que por defecto hacen muchos hostings, pero poderlo controlar por ti misma esta genial.

      Sobre Loginizer, como iThemes Security de por si trae esa opción, con eso me quedo tranquilo. En este caso, incluso puedes unirte a una network, de tal forma que si una IP es bloqueada por algunas webs, por ataques de fuerza bruta, queda bloqueada en todas las webs que formen parte de la red de iThemes. Algo genial para cuando hay ataques globales.

      Un abrazo.

Los comentarios están cerrados.

Acceso gratuito
a la Academia de
Hormigas en la Nube

+20 cursos disponibles sobre herramientas, marketing y ventas

Por tiempo limitado estoy regalando el acceso a la librería de recursos de la Academia de Hormigas en la Nube.

Cursos de ActiveCampaign, Elementor, Beaver Builder, WordPress, Copywriting, ventas, email marketing y más te estan esperando dentro. Disponible gratis por tiempo limitado.

Mockup escritorio herramientas
Ir arriba