Lista de verificación de seguridad de WordPress: Pasos que sigo para blindar mis sitios en 40 minutos

Ayudé a una clienta a recuperarse de un hackeo de pesadilla cuando perdió 40,000 suscriptores de correo electrónico. Tres días de su vida desaparecieron en el control de daños, su reputación se vio afectada y todavía se está recuperando.

Pero he aquí el detalle. A las 3 horas de implementar la seguridad adecuada, blindamos su sitio. ¿Dos años después? Cero ataques exitosos, sus rankings de búsqueda mejoraron y la confianza del cliente regresó con más fuerza.

Ese éxito me hizo pensar en algo importante.

Recientemente creé una lista de verificación de velocidad y rendimiento de WordPress después de que muchos usuarios pidieran un recurso compacto que pudieran seguir paso a paso.

Entonces me di cuenta de que la seguridad y el rendimiento de WordPress resuelven los mismos problemas centrales. Ambos mantienen su sitio estable, previenen caídas y tiempo de inactividad. Ambos protegen sus rankings de búsqueda.

Un sitio rápido suele ser un sitio seguro. Un sitio seguro se mantiene rápido porque no está luchando contra malware o tráfico de ataques.

Así que hoy, les doy el complemento de seguridad para esa guía de rendimiento. Piensen en esto como la segunda mitad para mantener su sitio de WordPress saludable y funcionando sin problemas.

En 40 minutos, su sitio será más seguro que el 80% de los sitios de WordPress que existen. Sin jerga aterradora. Sin herramientas empresariales costosas. Solo protección inteligente y sistemática que realmente funciona.

De hecho, para cada paso, les muestro el enfoque manual y una herramienta gratuita que puede ayudarles a mejorar su seguridad.

Puntos Clave Rápidos: Lo que obtendrán hoy

• Copias de seguridad automáticas que protegen todo su sitio
• Defensas de inicio de sesión que bloquean el 99% de los ataques
• Monitoreo en tiempo real para detectar amenazas a tiempo
• Núcleo de WordPress bloqueado contra exploits
• Firewall profesional funcionando gratis

Inversión de tiempo: 40 minutos. Protección: Años.

Entendiendo contra qué te proteges (5 minutos)

Antes de instalar plugins de seguridad en tu sitio, dedica 5 minutos a entender qué amenaza realmente a los sitios de WordPress.

Este conocimiento te ayuda a tomar decisiones inteligentes, no impulsivas.

Verás, la mayoría de los principiantes instalan todos los plugins de seguridad que encuentran y activan todas las funciones. Como resultado, su sitio se ralentiza drásticamente y aún no saben contra qué se están protegiendo realmente.

Los números reales (2024-2025)

Los sitios de WordPress sufren ataques cada 32 minutos en promedio.

Eso suena aterrador. Pero esta es la realidad: el 96% de las vulnerabilidades se encuentran en los plugins, no en el propio WordPress. El núcleo de WordPress es increíblemente seguro. ¿Tus plugins? Ahí es donde se esconden los problemas.

Además, según Search Engine Journal, el 55% de todos los ataques son spam de SEO.

No es un hackeo dramático al estilo de película con figuras encapuchadas escribiendo furiosamente. Solo bots automatizados inyectando páginas de spam ocultas para secuestrar tus rankings de búsqueda.

Solo el 27% de los propietarios de sitios tienen planes de recuperación adecuados.

Ese último número es el más importante porque la mayoría de los hackeos son recuperables si estás preparado. Y es por eso que estamos aquí hoy. Para ayudarte a detener los ataques de seguridad de WordPress antes de que sucedan.

Los 3 ataques más comunes (lo que realmente sucede)

1. Ataques de fuerza bruta al inicio de sesión

Los ataques de fuerza bruta ocurren cuando los bots intentan miles de combinaciones de contraseñas en tu página de inicio de sesión. No te están atacando específicamente a ti. En cambio, atacan a todos los sitios de WordPress que pueden encontrar.

Es decir, si tu sitio está protegido o requiere trabajo adicional para hackearlo, simplemente lo omiten. Después de todo, pueden atacar a millones de otros sitios.

Echa un vistazo a esta publicación para aprender todo lo que necesitas saber sobre los ataques de fuerza bruta.

¿La buena noticia? Esto se soluciona en 2 minutos con herramientas sencillas que instalarás en breve.

2. Exploits de plugins desactualizados

Los plugins antiguos se convierten en puertas abiertas a tu sitio. Los hackers escanean sitios que ejecutan versiones de plugins vulnerables. Cuando encuentran uno, herramientas automatizadas explotan la vulnerabilidad conocida.

3. Inyección de spam SEO

Los atacantes inyectan contenido oculto para mejorar sus propios rankings de búsqueda.

Crean miles de páginas de spam en tu dominio. Google ve estas páginas, lo que resulta en que tus rankings se desplomen. Al final, los visitantes son redirigidos a sitios fraudulentos.

Ahora, si quieres ver rápidamente el estado de tu sitio y si alguna de estas vulnerabilidades está en tu sitio, comienza escaneando tu sitio con nuestro verificador de seguridad gratuito para WordPress.

Lista de verificación completa de seguridad de WordPress

Ahora, sé que esta es una publicación larga y puedes confundirte fácilmente. Así que he condensado toda la lista de verificación usando la tabla de contenido a continuación. De esta manera, puedes ver todo de un vistazo.

Además, puedes saltar a cualquier parte de la lista de verificación de seguridad de WordPress usando los enlaces a continuación.

Con eso fuera de camino, ¡vamos a nuestra lista de verificación de seguridad!

☐ Base de emergencia – Haz esto primero (10 minutos)

Estas cuatro cosas son tu red de seguridad. No son glamorosas, pero salvarán tu sitio cuando ocurra un desastre.

Ya eres más seguro que el 70% de los sitios de WordPress después de esta sección.

Configurar copias de seguridad automáticas (3 minutos)

Al igual que con el seguro del hogar, esperas no necesitarlo nunca, pero cuando lo haces y no lo tienes, puede ser desastroso.

La realidad es que el 73% de los sitios de WordPress no tienen un plan de respaldo.

Piensa en eso por un segundo. Tres de cada cuatro propietarios de sitios están a un hackeo de perder todo lo que han construido.

Entonces, ¿cómo haces una copia de seguridad de tu sitio de WordPress?

Enfoque manual:

Tu proveedor de hosting podría ofrecer copias de seguridad. Los principales proveedores de hosting como Bluehost, Hostinger, y otros ofrecen algún tipo de plan de respaldo con cada plan que compras.

Pero eliminan esas copias de seguridad cuando dejas su hosting o después de un cierto número de meses. Además, si el servidor en sí se ve comprometido, tus copias de seguridad se pierden con él.

Recuerda, necesitas entender cómo operar tu cPanel o SFTP si quieres usar la opción de respaldo de tu proveedor. Echa un vistazo a este tutorial para ver cómo configurar la copia de seguridad de tu sitio a través de cPanel o SFTP.

Si bien tienes tu copia de seguridad con un proveedor de hosting, nunca dejes que sea tu única solución. Es como guardar la llave de repuesto de tu coche dentro del coche.

Solución con herramienta: Duplicator (Gratis)

Si bien las copias de seguridad manuales a través de tu proveedor pueden ser complicadas de configurar, usar un plugin puede automatizar todo el proceso.

Por ejemplo, Duplicator resuelve el mayor problema de seguridad de las copias de seguridad: la velocidad de recuperación durante un ataque activo.

Cuando el malware ataca tu sitio, necesitas restaurar rápidamente. Duplicator empaqueta toda tu instalación de WordPress en un solo archivo, incluyendo la base de datos, archivos, plugins, temas, subidas, todo.

Un paquete significa restauración con un clic en lugar de juntar archivos de copia de seguridad dispersos durante una crisis.

La función de copia de seguridad programada se ejecuta automáticamente en el plazo que elijas. Lo configuras una vez. Hace copias de seguridad semanales o diarias sin que tengas que recordar hacer clic en nada.

Esto es importante porque las copias de seguridad manuales fallan cuando las olvidas durante semanas ajetreadas.

Aparte de eso, también obtienes la integración de almacenamiento en la nube que envía tus copias de seguridad fuera del sitio inmediatamente. Tienes opciones como Google Drive, Dropbox, Amazon S3 y más.

Como resultado, tu copia de seguridad nunca se queda en el mismo servidor que los atacantes acaban de comprometer. Incluso si eliminan todo en tu cuenta de hosting, tus copias de seguridad sobreviven en la nube.

Lo más importante es que usar Duplicator durante la migración de hosting tiene sentido.

Si tu proveedor de hosting sufre una brecha a nivel de infraestructura, puedes mover todo tu sitio a un nuevo hosting en menos de una hora. No te quedas atrapado en servidores comprometidos esperando la limpieza del proveedor.

Echa un vistazo a mi reseña de Duplicator aquí para más detalles. También, mira este artículo para ver cómo puedes recuperar tu sitio después de una brecha de seguridad. Te guío a través de 5 métodos.

Alternativamente, también puedes usar UpdraftPlus como tu plugin de copia de seguridad.

UpdraftPlus ofrece una interfaz más visual con programación de copias de seguridad de arrastrar y soltar. El asistente de restauración incluye más ayuda en cada paso, lo que algunos principiantes prefieren.

Ambas herramientas brindan beneficios de seguridad idénticos, así que elige según la interfaz que te resulte más cómoda. Antes de tomar tu decisión, compara Duplicator vs. UpdraftPlus vs. Solid Backups para ver cuál es la adecuada para ti.

Además, también puedes consultar esta lista de los mejores plugins de copia de seguridad para tener aún más opciones.

Verifica que tus copias de seguridad funcionen:

Primero, recibes una confirmación por correo electrónico en tu bandeja de entrada después de cada copia de seguridad. Esto asegura que tengas un registro de tu copia de seguridad cada vez. Además, los paquetes de copia de seguridad aparecen en tu almacenamiento en la nube con fechas y horas.

Sitios de alto riesgo que más necesitan esto:

Los sitios de noticias y los editores de contenido enfrentan los mayores problemas si no tienen copias de seguridad del sitio.

Un solo ataque exitoso puede eliminar años de artículos, perfiles de autores y contenido multimedia. Eso son miles de horas de trabajo perdidas.

A diferencia del comercio electrónico, donde podrías perder datos de transacciones, los sitios de noticias de WordPress pierden todo su negocio. La propiedad intelectual que define la publicación.

¿Recuperar este contenido de archivos web o caché de Google? Casi imposible a gran escala.

☐ Habilitar autenticación robusta (2 minutos)

A menudo veo a propietarios de sitios usando "admin" como nombre de usuario con "password123", lo que es como dejar la llave de tu casa debajo del felpudo. Otros usan sus nombres o nombres de negocios, lo cual es igual de arriesgado.

Incluso un hacker novato siempre intentará esta combinación antes de usar cualquier bot sofisticado para intentar encontrar tu contraseña.

Pero cuando estas personas malintencionadas introducen bots para intentar descifrar tu sitio, incluso las contraseñas seguras podrían no ser suficientes.

Entonces, ¿cómo proteges completamente tu sitio de hackeos de contraseñas?

Enfoque manual:

Primero y lo más obvio, necesitas crear contraseñas seguras. Más importante aún, necesitas usar contraseñas únicas para todos tus sitios.

Así como veo a muchas personas usando un nombre de usuario y contraseña simples, también veo a muchos propietarios de sitios reutilizando la misma contraseña en varios sitios porque recordar 47 contraseñas diferentes es imposible.

Para ayudarte a crear una contraseña segura cada vez, puedes usar nuestro generador de contraseñas gratuito.

Puedes ver la longitud de la contraseña. Luego usa casillas de verificación para indicar al generador de contraseñas que agregue mayúsculas, números, caracteres especiales o que la haga fácil de recordar.

Es tu elección.

En cuanto a proteger manualmente tu sitio con una contraseña segura, esta es la mejor solución. Te sugiero que guardes tus contraseñas en un bloc de notas para que estén fuera de la red y no se pueda acceder a ellas de forma remota.

Pero esto puede consumir mucho tiempo y aún presentar preocupaciones de seguridad. Es por eso que prefiero el enfoque de herramientas.

Solución con herramienta: Administrador de contraseñas + Plugin 2FA

Los administradores de contraseñas resuelven el problema de "demasiadas contraseñas" que conduce a la reutilización de contraseñas. Como se mencionó, cuando reutilizas contraseñas, una brecha en cualquier sitio expone todas tus cuentas.

Los administradores de contraseñas generan y almacenan contraseñas únicas para cada sitio, por lo que una brecha en otro lugar nunca afecta tu inicio de sesión de WordPress.

LastPass ofrece un nivel gratuito con contraseñas ilimitadas en un tipo de dispositivo. Además, una interfaz más pulida que muchos principiantes encuentran fácil de usar.

Por otro lado, 1Password se integra maravillosamente si estás en el ecosistema de Apple, con funciones como Face ID y sincronización de iCloud. Pero requiere una suscripción de pago sin opción gratuita.

Ambos generan contraseñas aleatorias de más de 16 caracteres con letras, números y símbolos. Echa un vistazo a mi lista de herramientas para ayudarte a llevar un registro de tus contraseñas para más opciones.

Hasta ahora, hemos resuelto 2 de los mayores problemas con las contraseñas: crear contraseñas seguras y recordarlas. Ahora, averigüemos cómo proteger aún más tu sitio si los hackers se saltan esto.

Y para hacer eso, recomiendo la autenticación de dos factores.

Esto agrega una segunda capa de verificación que los atacantes no pueden omitir de forma remota.

Incluso si alguien roba tu contraseña a través de un correo electrónico de phishing o una filtración de datos, aún no podrá iniciar sesión sin el código de seis dígitos de tu teléfono.

Los plugins de 2FA de WordPress hacen que esta configuración sea ridículamente simple. Por ejemplo, la mayoría de los mejores plugins de autenticación de dos factores se conectan a tu teléfono con un escaneo de código QR.

Tu teléfono genera códigos basados en tiempo que cambian cada 30 segundos. Ningún código se transmite por internet, por lo que no hay nada que los atacantes puedan interceptar.

La función de códigos de recuperación de respaldo te protege si pierdes tu teléfono. Estos códigos de un solo uso almacenados en tu gestor de contraseñas te permiten recuperar el acceso y configurar la 2FA en un nuevo dispositivo.

Sin códigos de respaldo, perder tu teléfono significa pagarle a un desarrollador para que deshabilite manualmente la 2FA en tu base de datos.

Aquí tienes una lista de los mejores plugins de autenticación de dos factores con los que puedes empezar. Además, aquí te explicamos cómo configurar un plugin de 2FA en solo unos pocos pasos.

¿Qué pasa si no quieres usar un plugin de autenticación de WordPress?

En este caso, puedes usar Google Authenticator y Authy, que generan los códigos de seis dígitos que WP 2FA necesita.

Authy agrega copias de seguridad en la nube de tus códigos en todos los dispositivos. Google Authenticator mantiene todo localmente en un solo dispositivo para mayor seguridad.

Lo que logras con la Verificación de 2 Factores

Primero, puedes detener rápidamente la mayoría de los ataques de fuerza bruta de inmediato. Los atacantes no pueden adivinar tu teléfono. Incluso si de alguna manera roban tu contraseña, aún no pueden iniciar sesión.

Como resultado, la toma de control de cuentas se vuelve virtualmente imposible, ya que la mayoría de los ataques automatizados de bots se rinden y se mueven a objetivos más fáciles.

Para una visión completa, aquí tienes una lista de los mejores plugins de fuerza bruta que puedes probar.

Sitios de alto riesgo que más necesitan esto:

Los sitios web de Freelancer y portafolio que operan como empresas unipersonales enfrentan riesgos de autenticación únicos.

Esto se debe a que el administrador de WordPress contiene contratos de clientes, archivos de proyectos, información de pagos, maquetas de diseño confidenciales y más.

Una cuenta comprometida no solo te afecta a ti. Expone información confidencial de múltiples clientes al mismo tiempo.

Una contraseña débil puede llevar a incumplir acuerdos de confidencialidad (NDA) con varios clientes a la vez. Tu reputación profesional queda destruida. Al final, te expones a demandas por incumplimiento de contrato de múltiples clientes.

☐ Instala tu plugin de seguridad (3 minutos)

Piensa en un plugin de seguridad como contratar a un guardia de seguridad que nunca duerme.

Verás, WordPress no viene con protección contra ataques incorporada. Es un software seguro, pero no tiene idea de cuándo los bots están atacando tu página de inicio de sesión o cuándo se sube malware.

Un plugin de seguridad dedicado añade ojos y oídos que WordPress simplemente no tiene por defecto.

Vigila las amenazas las 24 horas del día. Bloquea ataques antes de que toquen tu sitio. Te alerta sobre problemas que nunca detectarías por tu cuenta.

Enfoque manual:

Podrías sumergirte en los registros del servidor y escribir reglas de firewall. Analizar patrones de ataque manualmente. Rastrear cada cambio de archivo tú mismo.

¿Pero, honestamente? No lo hagas. Eso es demasiado técnico para la mayoría de las personas, y un movimiento en falso te bloquea de tu propio sitio.

Solución con herramienta: Wordfence Security (Gratis)

Wordfence aborda los tres problemas de seguridad con los que los principiantes luchan más: detectar amenazas en tiempo real, escanear vulnerabilidades y bloquear ataques automáticamente.

El firewall en tiempo real funciona como un portero en la puerta principal de tu sitio. Cuando los bots intentan agregar código malicioso o ataques de cross-site scripting, el firewall reconoce los patrones maliciosos y los detiene en seco.

Al final, los ataques nunca tocan tu base de datos ya que tu servidor nunca procesa el código malicioso. Simplemente desaparecen.

El escaneo diario de malware compara cada archivo con las versiones oficiales de WordPress.org.

Si los atacantes se cuelan y modifican tu código de inicio de sesión para crear una puerta trasera, Wordfence lo detecta de inmediato.

El escáner verifica contra 4 millones de firmas de malware conocidas, buscando código sospechoso oculto en tus archivos de plugins o temas.

Además de eso, el monitoreo de inicios de sesión fallidos muestra exactamente quién está atacando tu página de inicio de sesión. Ves sus direcciones IP, los nombres de usuario que están probando y cuántos intentos han realizado.

Después de intentos fallidos repetidos, Wordfence los bloquea automáticamente.

El asistente de configuración se encarga de las decisiones técnicas por ti. Simplemente haz clic en “aceptar la configuración recomendada” y estarás protegido. No necesitas entender lo que hace un firewall de aplicaciones web.

Consulta mi reseña detallada de Wordfence para más detalles.

Alternativa premium: Sucuri Security

Sucuri ofrece una plataforma de seguridad premium que incluye características que Wordfence no iguala en su versión gratuita.

Para empezar, el firewall basado en la nube bloquea ataques antes de que lleguen a tu servidor, reduciendo la carga y mejorando el rendimiento.

Obtienes limpieza profesional de malware incluida si tu sitio se ve comprometido. Lo mejor de todo es que el equipo de soporte responde en horas, no en días.

Sucuri también monitorea las principales listas negras y te alerta inmediatamente si Google u otros servicios marcan tu sitio. Su centro de operaciones de seguridad proporciona monitoreo humano 24/7, no solo escaneos automatizados.

Este plugin de firewall es ideal para sitios de negocios donde el tiempo de inactividad cuesta dinero real y necesitas limpieza experta garantizada si ocurre un desastre. Mira mi reseña de Sucuri para más detalles.

Además de eso, consulta mi lista de los mejores plugins de seguridad de firewall para más opciones.

Sitios de alto riesgo que más necesitan esto:

Sitios de membresía y plataformas de cursos en línea dependen de un tiempo de actividad continuo. Los miembros pagan suscripciones mensuales, esperando acceso 24/7 al contenido del curso.

La monitorización de seguridad en tiempo real previene ataques que podrían dejar tu sitio fuera de servicio durante las horas pico de aprendizaje.

Cuando los estudiantes no pueden acceder al contenido del curso por el que han pagado, los contracargos se disparan de inmediato. Le siguen las cancelaciones de membresía.

Un ataque exitoso que cause 24 horas de inactividad puede desencadenar cientos de solicitudes de reembolso. Tu procesador de pagos ve el patrón de contracargos. Tu cuenta de comerciante queda marcada.

Ahora, puedes usar nuestro verificador de tiempo de actividad gratuito para asegurarte siempre de que tu sitio funcione sin problemas.

Además, aquí tienes una lista detallada de los mejores plugins de seguridad que protegen tu sitio en diferentes niveles de seguridad, necesidades y presupuestos.

☐ Verifica la seguridad de tu hosting (2 minutos)

Una cosa que he aprendido en mis años como experto en WordPress es que tu proveedor de hosting es o tu aliado de seguridad más fuerte o tu eslabón más débil.

Noté que el 39% de los sitios comprometidos tienen software de servidor desactualizado. Eso no es tu culpa. Es que tu proveedor de hosting no está haciendo su trabajo.

Tu hosting es la base de todo tu sistema de seguridad. Todo lo que construyes se asienta sobre él. Entonces, ¿cómo te aseguras de que tu base sea sólida antes de agregar el resto de tus capas de seguridad?

La base de seguridad que tu host debería proporcionar:

Lo primero de lo que debes asegurarte es de que tu sitio esté encriptado. Esta es una solución simple que puedes lograr con un certificado SSL (Secure Sockets Layer).

Protege la transmisión de datos entre tu sitio y los visitantes. Si tu sitio tiene protección SSL, notarás que la URL cambia de HTTP a HTTPS.

HTTPS encripta todo lo que viaja entre tu sitio y los visitantes. Sin él, los datos se mueven en texto plano que cualquiera puede interceptar.

Aparte de eso, Google ya no clasifica bien los sitios que no son HTTPS. Y los navegadores modernos muestran grandes pantallas de advertencia rojas en los sitios sin SSL, asustando a los visitantes antes de que siquiera vean tu contenido.

Enfoque manual:

Solicita un certificado SSL a tu proveedor de hosting y luego actualiza manualmente las URLs de tu sitio de WordPress en la base de datos.

Después de eso, necesitarías configurar redirecciones .htaccess para forzar el tráfico HTTP a HTTPS. Luego, busca errores de contenido mixto donde las imágenes o scripts todavía se cargan sobre HTTP, rompiendo tu ícono de candado.

El proceso implica editar tablas de la base de datos, modificar archivos del servidor y depurar por qué ciertas páginas muestran advertencias de seguridad.

Un error tipográfico en tu archivo .htaccess puede colapsar todo tu sitio. Una URL omitida en tu base de datos significa enlaces rotos por todas partes.

Es técnico, consume tiempo y, sinceramente, ¿la mayoría de los principiantes rompen algo en el proceso?

La buena noticia es que la mayoría de los proveedores de hosting ofrecen instalación SSL gratuita con un solo clic. Busca "SSL/TLS" o "Let's Encrypt" en el panel de control de tu hosting. Haz clic en "Habilitar" y espera de 5 a 15 minutos para la activación.

Si tu host no ofrece certificados SSL gratuitos, es una señal de alarma grave sobre su infraestructura. Considera migrar a un host que incluya SSL como estándar.

Aquí tienes una lista de los mejores hosts con certificados SSL gratuitos. Además, la mayoría de los proveedores de hosting instalan automáticamente el certificado SSL.

Solución con herramienta: Really Simple SSL (Gratis)

Si un cliente de hosting no ofrece un certificado SSL, recurro a Really Simple SSL, que se encarga de todo lo que la configuración manual complica.

El plugin de cifrado detecta automáticamente tu certificado SSL en el momento en que se ejecuta. Un clic en el gran botón "Activar SSL" y listo.

Really Simple SSL se encarga de todo tras bambalinas. Cambia las URL de tu WordPress de http:// a https:// de forma segura en tu base de datos.

¿Ediciones manuales de la base de datos que pueden dañar fácilmente todo tu sitio con un solo error tipográfico? Really Simple SSL lo hace correctamente cada vez.

Además, también configura automáticamente las redirecciones para forzar a todos los visitantes a la versión HTTPS. De esta manera, los motores de búsqueda ven la versión HTTPS y los usuarios nunca acceden a la versión insegura.

Echa un vistazo a mi reseña de Really Simple SSL para ver cómo funciona. Además, aquí tienes una guía paso a paso sobre cómo configurar tus certificados SSL manualmente o usando un plugin.

Sitios de alto riesgo que más necesitan esto:

Los sitios web de bienes raíces y listados de propiedades requieren un hosting con excelente seguridad.

Manejas datos confidenciales de clientes como direcciones de casas e información financiera, mostrando lo que los compradores pueden pagar.

Uno de los mayores riesgos es que muestres horarios que revelen cuándo las propiedades están desocupadas. Por lo tanto, una seguridad de alojamiento débil expone cuándo las propiedades están vacías. Eso no es solo una filtración de datos. Eso crea riesgos de seguridad física para los propietarios.

Además de obtener información de usuarios y registros financieros, los atacantes que se dirigen a sitios inmobiliarios a menudo buscan las direcciones de propiedades de alto valor para planificar robos.

Una seguridad de alojamiento robusta no es opcional. Está protegiendo la seguridad física de sus clientes. Y todo comienza con la ubicación de los servidores de su sitio.

Puede consultar esta lista de comparación de proveedores de alojamiento seguros y de alto rendimiento para empezar.

☐ Bloquear el acceso de usuarios (3 minutos)

Aquí hay una estadística aterradora: el 55% de los sitios pirateados contienen cuentas de administrador falsas creadas por atacantes.

Estos no son nombres de usuario obvios como "hacker123". Son cuentas con nombres como usuarios reales o roles como "john_smith" o "support_team" que permanecen inactivas durante meses.

Los atacantes las crean durante la intrusión inicial y luego regresan más tarde para usarlas. Para entonces, usted ha olvidado el ataque y asume que todo está bien.

Bloquear quién puede acceder a su sitio detiene esto antes de que comience.

Enfoque manual:

El enfoque manual puede llevar mucho tiempo, pero es muy eficaz para identificar usuarios que pueden tener intenciones maliciosas.

Todo lo que tiene que hacer es ir a Usuarios » Todos los usuarios, luego revisar cada cuenta. Cuestione cada nombre de usuario que no reconozca de inmediato.

Pero la verificación manual solo funciona si te acuerdas de hacerlo. La mayoría de las personas lo olvidan hasta después de la intrusión.

Entonces, ¿cómo se asegura de que "recuerda" a todos?

Primero, elimine cualquier usuario llamado "admin". En su lugar, cámbielo a su nombre real o al nombre de su empresa. Los atacantes se dirigen específicamente al nombre de usuario predeterminado "admin" porque está garantizado que existe en instalaciones descuidadas.

A continuación, elimina las cuentas antiguas. Esto incluye a exempleados o contratistas con los que ya no trabajas.

Si tienes muchos usuarios en tu sitio, se vuelve imposible recordarlos a todos.

Así que, en lugar de centrarte en el “quién”, céntrate en el “rol”.

Esto asegura que cada usuario tenga el nivel de acceso correcto. Tu redactor de contenido no necesita acceso de Administrador. Tu asistente virtual no necesita privilegios de Editor para programar publicaciones.

Usa este enfoque para configurar roles:

• Administrador significa control total. Solo tú, el propietario del sitio, deberías tenerlo. Quizás tu desarrollador principal si estás dirigiendo un negocio.
• Editor maneja toda la gestión de contenido. Pueden publicar, editar y eliminar cualquier publicación o página. Bueno para los gestores de contenido que necesitan control total del contenido.
• Autor crea y publica solo su propio contenido. Perfecto para escritores habituales en tu blog.
• Colaborador escribe contenido pero no puede publicar sin aprobación. Usa esto para escritores invitados.
• Suscriptor solo lee contenido. Pueden iniciar sesión y comentar, pero nada más. La mayoría de los miembros deberían ser suscriptores.

Solución con herramienta: WP Activity Log (Gratis)

WP Activity Log resuelve el problema de “quién hizo qué” que hace imposibles las investigaciones de brechas.

La función de monitoreo de actividad registra cada inicio de sesión, cierre de sesión y acción realizada por cada usuario. Cuando algo sale mal, ves exactamente qué cuenta realizó el cambio y cuándo.

Esto es importante porque los atacantes a menudo usan cuentas legítimas comprometidas en lugar de crear nombres de usuario obvios como “hacker123”.

Aparte de eso, las alertas de nuevas cuentas de administrador te notifican inmediatamente cuando se crean cuentas de administrador. Esta alerta las detecta en tiempo real, no tres meses después durante tu próxima auditoría manual.

El seguimiento de la hora de inicio de sesión muestra patrones inusuales, como que tu cuenta inicie sesión desde Rusia a las 3 AM cuando tú estás durmiendo en California.

Las anomalías geográficas revelan credenciales comprometidas antes de que los atacantes causen daños reales.

La gestión de sesiones muestra todas las sesiones de inicio de sesión activas. Puedes ver si tu cuenta está iniciada desde múltiples ubicaciones simultáneamente y cerrar sesiones sospechosas al instante.

Ve cómo usar WP Activity Log para rastrear la actividad del usuario para una capa adicional de protección. Además, aquí tienes más herramientas para rastrear el tráfico de visitantes para ayudarte a detectar cualquier anomalía.

Sitios de alto riesgo que más necesitan esto:

Los foros comunitarios y tablones de discusión enfrentan desafíos extremos de gestión de usuarios porque permiten el registro público por diseño.

Los atacantes crean cuentas de miembros que parecen legítimas. Lentamente construyen reputación a través de la participación normal durante semanas o meses.

Luego encuentran formas de mejorar su cuenta de miembro regular a administrador completo.

Una vez dentro, acceden a mensajes privados entre todos los miembros y exponen direcciones de correo electrónico para campañas de spam. Lo peor de todo es que inyectan malware que afecta a todos los visitantes del foro.

El ataque de construcción lenta es casi imposible de prevenir sin monitoreo de actividad. Los miembros regulares no activan sospechas hasta que es demasiado tarde.

☐ Limpia tus plugins (4 minutos)

El 96% de las vulnerabilidades de seguridad de WordPress provienen de plugins, no de WordPress en sí.

Como se mencionó, el núcleo de WordPress es muy sólido. El equipo de WordPress corrige vulnerabilidades a las pocas horas de su descubrimiento. En todo 2024, solo se encontraron 7 vulnerabilidades principales.

¿Pero tus plugins? Ahí es donde se enfocan los atacantes. Cada plugin que instalas agrega código de diferentes desarrolladores con distintos estándares de seguridad.

Algunos plugins se abandonan, otros tienen código descuidado y algunos contienen puertas traseras ocultas. Tu colección de plugins es tu mayor riesgo de seguridad.

Enfoque manual:

Ve a Plugins » Plugins Instalados y cuéntalos. Para mí, el sitio promedio de WordPress ejecuta más de 20 plugins. Así que lo primero que debes mirar es el número total de plugins que tienes.

A continuación, clasifica tus plugins en tres categorías.

• Los plugins esenciales manejan la seguridad, copias de seguridad, SEO y la funcionalidad principal sin la cual no puedes operar.
• Los plugins agradables de tener añaden conveniencia pero no son críticos.
• Los plugins no utilizados simplemente están ahí acumulando polvo.

Después de clasificar tus plugins en las categorías anteriores, elimina cualquier cosa no utilizada en 3 meses. No desactives. Elimina por completo.

Los plugins inactivos aún pueden ser explotados. El código permanece en tu directorio, donde los atacantes pueden acceder directamente a archivos vulnerables, incluso cuando están desactivados.

Luego, ve a tu lista de "Sería bueno tener" y busca las siguientes señales de alerta.

• Actualizado en los últimos 6 meses significa mantenimiento activo. ¿Más de un año? Una pesadilla de seguridad esperando a suceder.
• La compatibilidad con WordPress es importante. Los plugins incompatibles a menudo tienen vulnerabilidades sin parches.
• Las reseñas de usuarios deben mostrar 4+ estrellas con comentarios positivos recientes. Desplázate, revisando quejas de seguridad.
• Un recuento de instalación superior a 10,000 significa pruebas comunitarias. Más usuarios implican que los problemas de seguridad se reportan y corrigen más rápido.
• La capacidad de respuesta del desarrollador muestra que hay alguien en casa. Verifica si responden a las preguntas de soporte. Los plugins abandonados son bombas de tiempo.

Si detectas alguna de estas señales de alerta, reemplázalas inmediatamente. Además de eso, habilita las actualizaciones automáticas para los elementos esenciales de confianza.

Conserva las actualizaciones manuales para los constructores de páginas, ya que las actualizaciones automáticas en este caso pueden dañar tu sitio. Lo más importante es recordar actualizar tus plugins durante las horas de menor tráfico para evitar cualquier tiempo de inactividad.

La seguridad de los temas funciona de la misma manera que la seguridad de los plugins.

Esto se debe a que los temas abandonados crean las mismas vulnerabilidades que los plugins abandonados.

De la misma manera, elimina completamente los temas viejos y no utilizados y mantén actualizado tu tema activo. Los temas predeterminados de WordPress pueden permanecer, ya que WordPress.org los mantiene.

Recuerda, verifica que tu tema activo se haya actualizado en los últimos 6 meses. Aquí tienes una lista de temas modernos con gran experiencia de usuario y características de seguridad para empezar.

Solución de herramienta: Tu plugin de seguridad actual debería encargarse de esto automáticamente.

Ahora, la belleza de la mayoría de los plugins de seguridad principales es que son multipropósito y manejan todos los aspectos básicos, como asegurar tus plugins de manera efectiva.

Por ejemplo, Wordfence escanea tus plugins contra una base de datos de vulnerabilidades constantemente actualizada. Cuando encuentra problemas, recibes alertas específicas con clasificaciones de gravedad.

No solo avisos vagos de “actualización disponible”, sino advertencias claras como “esta versión tiene una vulnerabilidad de inyección SQL que se está explotando activamente”.

El escáner de Sucuri funciona de manera similar, verificando sus plugins contra amenazas conocidas y resaltando cuáles necesitan atención inmediata.

iThemes Security, ahora Solid Security, también monitorea las vulnerabilidades de los plugins y puede bloquear la ejecución de archivos de plugins específicos si están comprometidos.

Por otro lado, All-in-One WP Security adopta un enfoque ligeramente diferente, permitiéndole deshabilitar la edición de archivos de plugins y temas directamente desde el panel de WordPress.

Esto evita que los atacantes modifiquen el código de los plugins, incluso si comprometen una cuenta de administrador.

Como puede ver, no necesita un plugin separado solo para monitorear plugins. Su herramienta de seguridad principal ya lo vigila todo.

Verifica versiones desactualizadas, agujeros de seguridad conocidos y modificaciones de código sospechosas. Puede revisar esta lista de los mejores plugins de seguridad de propósito general para ver cuál es el adecuado para usted.

Sitios de alto riesgo que más necesitan esto:

Los sitios de fotografía y portafolios creativos suelen instalar numerosos plugins de galerías, presentaciones y optimización de imágenes para mostrar su trabajo de forma hermosa.

Cada plugin visual especializado añade vulnerabilidades potenciales. Los atacantes se dirigen específicamente a sitios de fotografía para robar imágenes de alta resolución para uso comercial no autorizado.

Un plugin de galería comprometido puede exponer todo tu portafolio. Los competidores pueden entonces descargar y vender tu trabajo digital antes de que descubras la brecha.

☐ Limitar intentos de inicio de sesión y acceso de dispositivos (3 minutos)

Como se mencionó, WordPress permite intentos de inicio de sesión ilimitados por defecto. Los atacantes pueden bombardear tu página de inicio de sesión con miles de combinaciones de contraseñas sin ser bloqueados nunca.

Tu plugin de seguridad, como Wordfence, ya maneja el bloqueo básico, pero agregar un límite dedicado a los inicios de sesión crea una capa de seguridad adicional.

Además, restringir cuántos dispositivos pueden acceder a cada cuenta evita el intercambio de credenciales que crea brechas de seguridad que nunca notarías.

Este paso cierra la brecha de los "intentos ilimitados" que hace posibles los ataques de fuerza bruta.

Enfoque manual:

Escribe código personalizado en tu archivo functions.php, rastreando los intentos de inicio de sesión fallidos por dirección IP.

A continuación, crea una tabla de base de datos que almacene los recuentos de intentos y desarrolla una lógica que bloquee temporalmente las IPs después de alcanzar tu umbral.

Luego, rastrea manualmente desde qué dispositivos inicia sesión cada usuario y almacena las huellas digitales de los dispositivos, comparando los nuevos intentos de inicio de sesión con los dispositivos conocidos. Después, finalmente, bloquea el acceso desde dispositivos no reconocidos.

Suena complicado, ¿verdad?

Esto requiere comprender las sesiones de PHP, la gestión de bases de datos y los métodos de identificación de dispositivos. Un error de codificación rompe por completo tu sistema de inicio de sesión, bloqueando a todos, incluyéndote a ti.

Así que déjame mostrarte un enfoque más fácil.

Solución de herramienta: Sucuri Security + WPCode

Sucuri (versión gratuita) incluye la limitación de intentos de inicio de sesión que bloquea las direcciones IP después de fallos repetidos. Establece tu umbral, normalmente de 3 a 5 intentos fallidos en un período de tiempo específico.

Una vez que se alcanza ese límite, Sucuri bloquea esa IP de acceder a tu página de inicio de sesión por completo.

El plugin registra cada intento fallido, mostrando los nombres de usuario que los atacantes probaron, sus direcciones IP y las marcas de tiempo exactas.

Verás patrones de ataque emerger: algunos provienen de IPs únicas probando contraseñas comunes, otros usan redes de proxy rotativas intentando credenciales dirigidas.

El bloqueo de Sucuri ocurre a nivel del plugin antes de que WordPress procese la solicitud de inicio de sesión, ahorrando recursos del servidor. Los intentos fallidos desde IPs bloqueadas consumen casi cero potencia de procesamiento.

Aquí tienes mi tutorial paso a paso sobre cómo limitar los intentos de inicio de sesión.

Por otro lado, usa WPCode para restricciones de dispositivos.

Te permite agregar fragmentos de código personalizados de forma segura sin editar los archivos del tema.

Para restringir a los usuarios a un solo dispositivo, WPCode proporciona una biblioteca de fragmentos de código donde puedes agregar lógica de restricción de dispositivos que rastrea las sesiones de inicio de sesión.

El fragmento monitorea las sesiones de usuario y cierra automáticamente las sesiones anteriores cuando alguien inicia sesión desde un nuevo dispositivo.

La mejor parte es que no estás escribiendo código desde cero, sino que usas fragmentos probados que WPCode administra de forma segura.

Si el código tiene problemas, desactívalo a través del panel de WPCode sin que tu sitio se caiga. No se necesita acceso FTP. No hay sitios caídos por errores tipográficos en functions.php.

Echa un vistazo a mi tutorial detallado sobre cómo limitar los dispositivos de inicio de sesión en WordPress. También puedes revisar mi reseña de WPCode para ver todo lo que puede hacer.

Sitios de alto riesgo que más necesitan esto:

Las plataformas de cursos en línea y los sitios de productos digitales pierden ingresos masivos cuando los clientes comparten credenciales de inicio de sesión.

Una compra de curso compartida entre un grupo de estudio significa 9 ventas perdidas. En este caso, los límites de dispositivos por cuenta detienen esta fuga de ingresos al tiempo que mejoran la seguridad.

Las plataformas educativas también enfrentan problemas de cumplimiento legal cuando ocurre el intercambio de credenciales.

Si tus términos de servicio prohíben compartir cuentas pero no lo haces cumplir técnicamente, dependes completamente del sistema de honor.

De nuevo, las restricciones de dispositivos proporcionan la aplicación técnica que los términos de servicio no pueden.

☐ Archivos principales seguros de WordPress (4 minutos)

Dado que WordPress en sí es seguro debido a todos los parches que aplican, el riesgo real es ejecutar versiones desactualizadas.

Recuerda, cada parche de seguridad que WordPress lanza es información pública.

Al igual que tú, los atacantes leen las notas de los parches, realizan ingeniería inversa de la vulnerabilidad y luego escanean internet en busca de sitios que aún ejecutan la versión antigua.

Como resultado, no solo te estás perdiendo una actualización de seguridad. Estás anunciando una debilidad conocida que los hackers atacan activamente.

Para ayudar con esto, mantén WordPress actualizado para cerrar estas brechas de seguridad documentadas antes de que los atacantes encuentren tu sitio.

Déjame mostrarte cómo.

Enfoque manual:

Ve a WordPress y selecciona Panel » Actualizaciones. Luego haz clic, revisa los parches disponibles y actualiza el núcleo de WordPress. El proceso toma solo unos minutos cuando hay actualizaciones disponibles.

¿El desafío? Mantener disciplina semanal durante meses y años.

WordPress te envía correos electrónicos cuando hay nuevas actualizaciones, pero esas notificaciones se pierden en tu bandeja de entrada junto con boletines, correos de clientes y spam.

Ves “Ya está disponible WordPress 6.4.3” y piensas “Lo haré esta noche”. Luego se te olvida.

Puedes complementar las alertas por correo electrónico configurando recordatorios semanales en tu calendario. Programa 15 minutos cada lunes por la mañana específicamente para el mantenimiento de WordPress. Trátalo como cualquier otra cita recurrente.

Recuerda siempre mantener una disciplina perfecta si quieres actualizar tus archivos principales manualmente.

Solución de herramienta: Easy Updates Manager (Gratis)

Easy Updates Manager resuelve el problema de “olvidarse de actualizar” que deja los sitios vulnerables durante meses.

Primero, viene con una función de actualizaciones menores automáticas, que instala parches de seguridad inmediatamente después de su lanzamiento.

Por ejemplo, las actualizaciones menores como de WordPress 6.4.1 a 6.4.2 solo contienen correcciones de seguridad y parches de errores, que Easy Updates Manager maneja automáticamente sin tu intervención.

Pero para las actualizaciones mayores de WordPress, usarás la función de Aprobación Manual de Actualizaciones Mayores en su lugar. Te permite controlar las grandes actualizaciones de funciones tú mismo, reduciendo el riesgo de que algo falle.

Las actualizaciones mayores como de WordPress 6.4 a 6.5 introducen nuevas funciones que podrían entrar en conflicto con tu tema o plugins.

Por lo tanto, con esta función, puedes probar la nueva actualización de WordPress en un sitio de ensayo primero antes de moverla a tu sitio principal.

Recuerda usar un plugin de staging confiable o el entorno de staging de tu hosting para que replique tu sitio original correctamente.

Sitios de alto riesgo que más necesitan esto:

Los sitios web de restaurantes y hotelería con sistemas de reservación en línea enfrentan necesidades críticas de seguridad.

Las brechas revelan exactamente cuándo los clientes VIP o las celebridades planean cenar, creando violaciones de privacidad y un peligro físico real.

Los paparazzi vigilan los restaurantes utilizando datos de reservación filtrados. Los acosadores rastrean los movimientos y patrones de cena de las celebridades. Los ladrones apuntan a robos cuando se confirma que personas de alto perfil están cenando fuera.

Más allá de nombres y horarios, las filtraciones exponen restricciones dietéticas, condiciones de salud, números de teléfono, detalles de tarjetas de crédito para cargos por no presentarse y notas privadas de celebraciones.

☐ Limpia y protege tu base de datos (2 minutos)

Tu base de datos es la bóveda donde vive todo.

Contiene cada publicación que has escrito, cada cuenta de usuario y hash de contraseña, cada configuración y configuración de plugin, cada comentario, metadatos de imágenes y campo personalizado.

Los hackers atacan las bases de datos porque una brecha exitosa les da todo a la vez. No necesitan buscar en archivos individuales. La base de datos les entrega todo tu sitio en bandeja.

Además, los ataques a bases de datos a menudo son invisibles. Tu sitio parece normal y las páginas cargan bien. Pero los atacantes están extrayendo silenciosamente datos de usuarios o inyectando contenido malicioso en las publicaciones.

Enfoque manual:

Primero debes acceder a la base de datos de tu sitio directamente a través del panel de control de tu hosting. Esto te da la oportunidad de editar tablas de bases de datos manualmente y ejecutar comandos de limpieza tú mismo.

Además de esto, puedes navegar por phpMyAdmin y buscar tablas infladas. Aquí puedes escribir consultas SQL para eliminar comentarios de spam u optimizar estructuras de tablas.

¿El problema? ¡Las bases de datos no perdonan!

No hay botón de deshacer. Un comando incorrecto borra todas tus publicaciones. Un nombre de tabla mal escrito elimina todas las cuentas de usuario. Un solo error tipográfico borra meses de trabajo de forma permanente.

Además, trabajar directamente con bases de datos requiere comprender conceptos técnicos complejos. La mayoría de los principiantes se sienten perdidos en el momento en que abren la interfaz de la base de datos.

Porque todo lo que ves son filas de datos crípticos sin una explicación clara de lo que hace cada cosa.

Es arriesgado. Por lo tanto, solo usa el enfoque manual si tienes experiencia como desarrollador. Si la tienes, sigue mi guía detallada sobre cómo limpiar tu base de datos de WordPress para un tutorial completo.

También te muestro cómo eliminar archivos no utilizados en tu base de datos si notas alguno que cree una preocupación de seguridad.

Solución de herramienta: WP-Optimize

WP-Optimize resuelve el problema de la “inflación de la base de datos” que ralentiza tu sitio y crea vulnerabilidades de seguridad.

Además, la función de eliminación de comentarios de spam elimina miles de comentarios de spam que abarrotan tu base de datos. Los comentarios de spam crean puntos débiles en tu base de datos que los hackers explotan para introducir código malicioso.

Este plugin de optimización también ayuda con la limpieza de revisiones de publicaciones, eliminando versiones antiguas de borradores que WordPress guarda automáticamente.

Cada vez que guardas un borrador, WordPress crea una nueva entrada en la base de datos. Después de un año, podrías tener 50 revisiones de una sola publicación. El plugin conserva tus 3 revisiones más recientes y elimina el resto.

Lo mejor de todo es que WP-Optimize es fácil de usar, y la mayoría de las optimizaciones de la base de datos se habilitan con una casilla de verificación.

En resumen, la optimización de la base de datos ordena y comprime tus datos. Tu sitio carga más rápido y utiliza menos espacio de almacenamiento.

Aparte de WP-Optimize, aquí tienes otras herramientas de base de datos para limpiar y optimizar tu sitio.

Sitios de alto riesgo que más necesitan esto:

Los portales de empleo y las plataformas de carreras mantienen bases de datos llenas de miles de currículums.

Esta información incluye nombres completos, direcciones, números de teléfono, historiales de empleo, expectativas salariales y más.

Esta información personal concentrada convierte a los sitios de empleo en objetivos principales para operaciones de robo de identidad. Una sola brecha en la base de datos expone los historiales profesionales completos de cientos de solicitantes de empleo.

Los delincuentes utilizan estos datos para sofisticados ataques de phishing. Se hacen pasar por reclutadores para robar información bancaria para la “configuración de depósito directo”.

Los datos de los currículums se venden a precios premium en mercados de la dark web porque son muy completos y actuales.

Capa de Protección Avanzada (8 Minutos)

Ahora está más seguro que el 80% de los sitios de WordPress. De hecho, puede detener la optimización de seguridad de su WordPress aquí y tener la tranquilidad de que está protegido. ¡Pero aún puede hacer más!

Estas medidas avanzadas añaden monitoreo y protección contra ataques sofisticados. Piense en esto como pasar de una alarma básica a un sistema de seguridad integral.

☐ Añadir un Firewall de Aplicaciones Web (3 minutos)

Un Firewall de Aplicaciones Web (WAF) se sitúa entre su sitio web y todas las personas que intentan visitarlo. Piense en él como un portero en la entrada de una discoteca.

Cada solicitud que intenta llegar a su sitio se verifica primero. Los visitantes legítimos pasan instantáneamente, mientras que el tráfico malicioso es bloqueado antes de que toque su servidor.

Esto es importante porque los ataques consumen los recursos de su servidor incluso cuando fallan. Sin un firewall, su servidor de hosting desperdicia energía procesando miles de solicitudes maliciosas al día.

Al final, su sitio se ralentiza y los visitantes reales experimentan demoras.

Con un WAF, el tráfico de ataques nunca llega a su servidor. Sus recursos de hosting sirven solo a visitantes reales.

Enfoque manual:

Inicie sesión en su panel de control de hosting y navegue a la configuración del firewall. Aquí, deberá escribir reglas que definan qué patrones de tráfico bloquear.

Después de esto, cree listas de direcciones IP a las que desea denegar el acceso y actualice estas listas a medida que surgen nuevas amenazas.

Deberá especificar exactamente qué tipos de solicitudes se bloquean, asegurándose al mismo tiempo de que los visitantes legítimos puedan acceder.

Siempre pruebe cada regla cuidadosamente porque bloquear el patrón incorrecto puede impedir que los clientes reales accedan a su sitio. Una configuración errónea y podría bloquearse completamente a sí mismo.

Recuerde, administrar esto manualmente significa revisar los registros diariamente, identificar nuevas fuentes de ataque y agregarlas a su lista de bloqueo una por una. Nunca se detiene.

Solución de herramienta: Cloudflare (Gratis)

Cloudflare detiene los ataques antes de que lleguen a su sitio web, evitando caídas durante las inundaciones de tráfico.

El filtrado basado en la nube significa que el tráfico de ataque nunca llega a tu servidor de alojamiento. Incluso los ataques DDoS, que lanzan 100,000 solicitudes por segundo a tu sitio, son absorbidos por la red de Cloudflare.

Como resultado, tu servidor solo recibe tráfico de visitantes legítimos.

Además, la red CDN global almacena en caché tu contenido estático en más de 300 centros de datos en todo el mundo. Esto hace que tu sitio sea más rápido mientras bloquea ataques al mismo tiempo.

Cloudflare ofrece otra forma de obtener un certificado SSL automático, además de los que hemos discutido anteriormente. Esto te da un certificado SSL de respaldo incluso si el certificado de tu host expira.

Tu sitio permanece cifrado durante los períodos de renovación de certificados.

La mejor parte es que puedes configurar fácilmente el motor de reglas de seguridad para bloquear automáticamente patrones de tráfico malicioso.

Cloudflare procesa miles de millones de solicitudes diariamente en millones de sitios. Por lo tanto, cuando surgen nuevos patrones de ataque, su red los reconoce y bloquea antes de que los atacantes lleguen a tu sitio.

Aquí tienes una guía para ayudarte a configurar Cloudflare y optimizar tu sitio para seguridad y rendimiento. Además de eso, aquí tienes otros plugins de firewall que también puedes usar en lugar de Cloudflare.

Sitios de alto riesgo que más necesitan esto:

Las plataformas SaaS y de aplicaciones web creadas en WordPress a menudo enfrentan ataques coordinados que intentan explotar los puntos finales de la API y los sistemas de autenticación de usuarios.

Sin un firewall, los atacantes inundan tu sitio con millones de intentos de inicio de sesión. Prueban millones de combinaciones de nombres de usuario y contraseñas robadas para secuestrar cuentas de usuario.

Estos ataques consumen recursos del servidor incluso cuando no tienen éxito. Tu sitio se ralentiza y los usuarios reales experimentan tiempos de espera y errores.

Los problemas de rendimiento ahuyentan a los usuarios reales durante las horas críticas de negocio. Como resultado, tus clientes de pago no pueden acceder a sus cuentas y los tickets de soporte se acumulan.

☐ Configurar escaneo de malware (4 minutos)

Ya hemos hablado sobre el uso de un escáner de malware anteriormente.

Pero dado que ahora estamos hablando de seguridad avanzada de WordPress, es importante darse cuenta de que un escáner o un escaneo no lo detecta todo.

Diferentes herramientas de escaneo buscan diferentes amenazas. Wordfence podría pasar por alto algo que Sucuri detecta. El escáner de Google detecta problemas que se escapan de ambos.

Piénsalo como obtener una segunda opinión médica. Tu primer doctor podría ser excelente, pero otra perspectiva revela cosas que el primero pasó por alto. El escaneo de malware funciona de la misma manera.

Usar múltiples escáneres gratuitos o premium juntos crea capas de detección. Lo que uno pasa por alto, otro lo encuentra.

Enfoque manual:

Descarga cada archivo de tu sitio vía FTP. Luego ábrelos en editores de texto y escanea los miles de líneas de código en busca de patrones sospechosos.

Tu sitio contiene miles de archivos, y el malware se esconde como código real. La revisión de un archivo toma 10 minutos, convirtiendo la detección manual de malware en un trabajo de tiempo completo que aún así pasa por alto la mayoría de las amenazas.

Como puedes ver, esto no es nada práctico, sin importar cuán experimentado seas. Por lo tanto, para esto, siempre recomiendo herramientas de escaneo.

Para asegurarte de encontrar una buena combinación de escaneos de malware, te proporcionaré una breve lista de opciones de escaneo de malware manuales y premium.

Solución de herramienta: Escáner de malware gratuito y premium y cómo combinarlos

1. IsItWP Free Security Scanner – 100% Gratis

El escáner de seguridad gratuito de IsItWP revisa todo tu sitio de WordPress en busca de malware, vulnerabilidades y problemas de seguridad en segundos.

Todo lo que tienes que hacer es ingresar tu URL y obtener resultados instantáneos que muestran detección de malware, estado de lista negra, software desactualizado y configuraciones de seguridad erróneas.

No se requiere instalación de plugin. El escáner se ejecuta externamente, por lo que no ralentizará tu sitio mientras revisa miles de archivos en busca de amenazas.

2. Google Search Console – 100% Gratis

Google Search Console monitorea tu sitio continuamente como parte del proceso de rastreo de Google; no tienes que configurar nada.

Cuando Google detecta malware, intentos de phishing o contenido pirateado, recibes alertas de correo electrónico inmediatas. El informe de Problemas de seguridad muestra exactamente lo que Google encontró y qué páginas se ven afectadas.

3. Sucuri Security – Gratis, con versión Premium

El plugin gratuito de Sucuri proporciona endurecimiento básico de la seguridad y monitoreo de actividad, ayudándote a rastrear cambios en tu sitio e implementar configuraciones de seguridad recomendadas.

Por otro lado, el escáner premium SiteCheck agrega detección de malware basada en la nube que se ejecuta externamente sin consumir los recursos de tu servidor.

También obtienes limpieza profesional humana si tu sitio se infecta. Premium incluye un firewall de sitio web que bloquea ataques antes de que lleguen a tu servidor y soporte prioritario con expertos en seguridad disponibles las 24 horas, los 7 días de la semana.

Echa un vistazo a mi reseña actualizada de Sucuri aquí.

2. Wordfence Security – Gratis, con Versión Premium

Wordfence Gratis escanea tu sitio diariamente en busca de malware comparando archivos con las versiones oficiales de WordPress, detectando modificaciones no autorizadas y firmas de malware conocidas.

Mientras que las actualizaciones premium te brindan inteligencia de amenazas en tiempo real que se actualiza a los pocos minutos de descubrirse nuevas amenazas, en lugar de esperar 30 días.

También obtienes bloqueo por país para detener el tráfico de regiones de alto riesgo, autenticación de dos factores para todas las cuentas de usuario y reglas de firewall avanzadas que se adaptan a patrones de ataque emergentes.

Revisa mi último Wordfence para más detalles.

3. MalCare – Gratis, con Versión Premium

La versión gratuita de MalCare ofrece escaneo de seguridad básico que revisa tu sitio en busca de vulnerabilidades comunes y problemas de configuración.

La versión premium proporciona escaneo de malware fuera del sitio que se realiza en los servidores de MalCare en lugar de los tuyos, evitando cualquier impacto en el rendimiento durante los escaneos.

Obtienes eliminación automática de malware con un clic que limpia los archivos infectados sin afectar la funcionalidad. Además, escaneo de base de datos que detecta contenido malicioso inyectado en publicaciones y comentarios.

Premium incluye entornos de sitio de staging para probar actualizaciones de forma segura antes de publicarlas.

Estos 5 escáneres de malware funcionan mejor para detectar cualquier malware de diferentes maneras. Pero como se mencionó, necesitas combinarlos para tener una mejor oportunidad de que nada se escape.

Cómo combinar escáneres de malware

Combinando Herramientas de Escaneo Gratuitas

Primero, ejecuta el escaneo externo de IsItWP semanalmente para detectar amenazas externas a tu red. Recuerda, el malware a menudo se esconde de los escáneres internos pero se revela a las verificaciones externas.

Al mismo tiempo, Google Search Console monitorea continuamente en segundo plano. Configúralo para que te alerte cuando Google detecte problemas durante el rastreo.

Finalmente, usa Wordfence Free para realizar escaneos diarios de archivos internos, comparando tus archivos de WordPress con las versiones oficiales. Este enfoque de tres capas detecta amenazas desde múltiples ángulos sin costo alguno.

Combinando Herramientas de Escaneo Premium

Combina Wordfence Premium con el escáner en la nube de Sucuri para una protección de nivel empresarial. Wordfence proporciona actualizaciones de inteligencia de amenazas en tiempo real a los pocos minutos de su descubrimiento.

Además, escaneo interno de malware con alertas inmediatas.

Por otro lado, Sucuri agrega escaneo externo basado en la nube que detecta amenazas que Wordfence omite. También obtienes limpieza humana profesional si el malware logra penetrar.

Alternativamente, combina MalCare con Wordfence Premium para un escaneo fuera del sitio que no consume recursos del servidor.

Cualquiera de las combinaciones te brinda monitoreo interno, verificación externa, limpieza automatizada y actualizaciones de amenazas en tiempo real.

Aquí tienes una lista de los mejores escáneres de malware que puedes usar para WordPress.

Sitios de alto riesgo que más necesitan esto:

Los sitios web de organizaciones sin fines de lucro y caridad que aceptan donaciones en línea se enfrentan a ataques de malware diseñados para redirigir los pagos de donaciones a cuentas controladas por atacantes.

Estos ataques cambian silenciosamente las páginas de pago para que las donaciones vayan a cuentas criminales en lugar de a tu organización benéfica. Todo parece normal para los donantes. Reciben correos electrónicos de confirmación, pensando que su dinero ayudó a tu causa.

Meses después, descubren que su donación de $10,000, esperando una deducción fiscal, nunca llegó a su organización. Fue a parar a criminales.

Al final, los reguladores de caridad investigan cuando los registros financieros no coinciden y su estatus de organización sin fines de lucro es cuestionado.

Usted enfrenta la posible pérdida de su estatus de exención de impuestos. Los donantes pierden la confianza permanentemente, a pesar de que usted fue la víctima.

☐ Agregar Protección Avanzada de Inicio de Sesión (2 minutos)

Ya hemos hablado sobre cómo crear contraseñas seguras y luego almacenarlas en su gestor de contraseñas. También hemos visto la autenticación de dos factores, que protege su inicio de sesión con códigos de su teléfono.

Esta combinación bloquea el 99% de los ataques de inicio de sesión porque los bots no pueden adivinar tu contraseña. Incluso si de alguna manera la roban, no pueden acceder a tu teléfono para obtener el segundo código de autenticación.

Pero aquí está el detalle: los atacantes aún saben dónde encontrar tu página de inicio de sesión. Cada sitio de WordPress usa /wp-admin por defecto. Así que todo lo que los bots tienen que hacer es bombardear esta URL constantemente en millones de sitios.

Ahora, veamos una capa más simple que oculta tu página de inicio de sesión por completo, haciéndola invisible para los ataques automatizados.

Enfoque manual:

Abre el archivo functions.php de tu sitio y escribe código personalizado que redirija la URL de inicio de sesión predeterminada a algo que los hackers no puedan adivinar.

Entonces, en lugar de "Tusitio.com/wp-admin", es algo como "Tusitio.com/caracteres-aleatorios" o "tusitio.com/acceso-backend".

Luego, agrega reglas que rastreen los intentos de inicio de sesión por dirección IP. Después de eso, crea tu propio sistema para bloquear fallos repetidos.

¿El problema? Un error tipográfico en functions.php bloquea todo tu sitio con una pantalla blanca de la muerte. Tu sitio se cae. No puedes acceder al área de administración para arreglarlo.

Necesitarías conectarte a través de FTP y editar o eliminar manualmente el código defectuoso para que tu sitio vuelva a estar en línea.

Además, necesitarías entender la sintaxis de PHP, los hooks de WordPress y la lógica de redirección. La mayoría de los principiantes no saben dónde se encuentra functions.php ni cómo editarlo de forma segura.

Solución de herramienta: WPS Hide Login (Gratis)

WPS Hide Login te ayuda a cambiar la URL de tu página de inicio de sesión de la misma URL predecible que los bots atacan constantemente a una personalizada.

Verás, la función de URL de inicio de sesión personalizada cambia tu página de inicio de sesión de tusitio.com/wp-admin a lo que elijas, tal vez tusitio.com/acceso-seguro o tusitio.com/backend-2024.

El plugin crea una ruta de inicio de sesión completamente personalizada que solo tú conoces. Los ataques automatizados no pueden encontrar lo que no pueden ver.

Tu página de inicio de sesión se vuelve invisible para los bots que escanean millones de sitios en busca de la URL predeterminada wp-admin.

Los bots todavía atacan /wp-admin buscando tu página de inicio de sesión, pero ahora solo encuentran un error 404 y pasan a objetivos más fáciles.

Recordatorio crítico: Guarda tu nueva URL de inicio de sesión en tu gestor de contraseñas inmediatamente. Si la olvidas, necesitarás acceso FTP para deshabilitar el plugin y recuperar el acceso.

Más allá de ocultar tu página de inicio de sesión, puedes mejorar aún más la seguridad del inicio de sesión de usuarios con plugins especializados de inicio de sesión y registro que añaden funciones como inicio de sesión social, formularios de registro personalizados y gestión avanzada de usuarios.

Consulta mi guía de los mejores plugins de WordPress para inicio de sesión y registro de usuarios para más formas de asegurar y personalizar tu experiencia de inicio de sesión.

Sitios de alto riesgo que más necesitan esto:

Sitios web de bloggers e influencers con un gran número de seguidores en redes sociales atraen ataques dirigidos de competidores y trolls que conocen la identidad del propietario del sitio.

Las URLs de inicio de sesión personalizadas evitan campañas de acoso. Seguidores enojados o competidores celosos intentan forzar las credenciales de inicio de sesión que han recopilado de perfiles de redes sociales.

Recuerda, las figuras públicas a menudo enfrentan ataques coordinados durante controversias. Cuando publicas algo controvertido, la gente puede intentar acceder a tu administrador de WordPress.

Ocultar wp-admin elimina la ruta de ataque más fácil durante estos momentos de crisis, asegurando que los atacantes no puedan encontrar tu página de inicio de sesión para atacarla.

¡Bien hecho! Tu protección avanzada y básica ya está activa.

Ahora veamos algunos errores comunes a evitar mientras trabajas en la seguridad de WordPress.

Errores comunes de principiantes (y cómo evitarlos)

"Ya me ocuparé de la seguridad después"

• Los sitios son atacados a las pocas horas de estar en línea. Los atacantes escanean constantemente las nuevas instalaciones de WordPress.
• Solución: Implementa lo básico durante la configuración inicial. Esta lista de verificación de 40 minutos durante el lanzamiento del sitio previene meses de problemas.

Usar contraseñas débiles en todas partes

• La reutilización de contraseñas genera muchas preocupaciones de seguridad interconectadas. Una brecha en cualquier sitio expone todas tus cuentas que usan esa contraseña.
• Solución: Gestor de contraseñas desde el primer día. Bitwarden o LastPass. Genera contraseñas únicas para todo.

Instalar demasiados complementos

• Cada plugin es una vulnerabilidad potencial. El sitio hackeado promedio ejecuta más de 25 plugins, incluyendo varios abandonados.
• Solución: Auditoría mensual de plugins. Elimina todo lo no utilizado en 3 meses. Calidad sobre cantidad.

Ignorar las notificaciones de actualización

• El 33% de los sitios hackeados tenían actualizaciones de seguridad disponibles sin instalar. Los atacantes se dirigen específicamente a vulnerabilidades conocidas.
• Solución: Habilita las actualizaciones automáticas para plugins de confianza. Actualizaciones manuales solo para funcionalidades complejas.

No probar las copias de seguridad

• El 40% de las copias de seguridad fallan al restaurarse cuando se necesitan. Las copias de seguridad no probadas brindan una falsa confianza durante emergencias.
• Solución: Prueba mensual de restauración de copias de seguridad. Descarga un paquete de copia de seguridad y verifica que se abra.

Compartir credenciales de inicio de sesión de administrador

• No se puede rastrear quién hizo los cambios o quién fue comprometido. Múltiples personas usando una cuenta de administrador oculta brechas.
• Solución: Cuentas individuales con roles apropiados. Editor para los administradores de contenido, no Administrador.

Usar plugins nulled o pirateados

• Los plugins premium crackeados y distribuidos gratis a menudo contienen puertas traseras de malware ocultas integradas en el código.
• Solución: Usa solo plugins oficiales. Paga por los premium si es necesario. Existen alternativas gratuitas para la mayoría de las funcionalidades.

Entrar en pánico durante incidentes

• Las decisiones apresuradas empeoran los problemas. Eliminar archivos al azar o cambiar configuraciones frenéticamente crea más daño.
• Solución: Sigue los procedimientos de respuesta documentados. Pon el sitio fuera de línea si es necesario y restaura desde una copia de seguridad limpia. Busca ayuda profesional.

¡Felicitaciones! Eso marca el final de nuestra lista de verificación de seguridad de WordPress. Si algo no está claro, consulta las preguntas frecuentes a continuación.

Preguntas frecuentes: Lista de verificación de seguridad de WordPress

¿Cuánto tiempo lleva realmente la seguridad de WordPress?

Si vas a realizar tanto los procesos básicos como los avanzados de seguridad de WordPress en una sola sesión, te tomará 40 minutos usando mi lista de verificación detallada. La mayoría de las funciones de seguridad se ejecutan automáticamente después de la configuración inicial, por lo que el mantenimiento continuo tomará significativamente menos tiempo.

¿Necesito pagar por plugins de seguridad?

Las versiones gratuitas cubren el 95% de las necesidades de seguridad para sitios personales. Mi recomendación es usar las versiones gratuitas de Wordfence, Duplicator y Cloudflare para proporcionar una protección sólida. Actualiza a premium cuando tu sitio genere ingresos o maneje datos de clientes. En este caso, las actualizaciones de amenazas en tiempo real y el soporte prioritario se vuelven valiosos para sitios de negocios.

¿Qué pasa si mi sitio ya está hackeado?

No entres en pánico. Las decisiones apresuradas empeoran los problemas. Primero, pon tu sitio fuera de línea usando el modo de mantenimiento. Aquí tienes algunos plugins de modo de mantenimiento que puedes usar. Esto protege a los visitantes y previene daños mayores.

Segundo, escanea con Wordfence y escáneres externos como Sucuri SiteCheck para identificar la extensión del compromiso.

Tercero, restaura desde una copia de seguridad limpia creada antes de la infección. Tus copias de seguridad de Duplicator hacen que esto sea fácil con un solo clic.

Cuarto, implementa toda esta lista de verificación para prevenir la reinfección. Recuerda, los atacantes a menudo dejan puertas traseras que permiten una fácil reentrada.

¿Cómo sé si mi seguridad está funcionando?

Usa un escáner de malware para revisar tu sitio y asegúrate de que muestre cero malware encontrado en escaneos semanales. Además, verifica cosas como la finalización exitosa del 100% de las copias de seguridad con confirmaciones por correo electrónico que lleguen para cada copia de seguridad programada.

Asegúrate de tener pocos intentos de inicio de sesión fallidos después de configurar una URL de inicio de sesión personalizada y 2FA, lo que reduce los ataques en más del 90%.

Lo más importante es que no deberías recibir ninguna advertencia de seguridad de Google al buscar tu sitio. Al mismo tiempo, asegúrate de que Google Search Console no muestre penalizaciones manuales.

¿Qué plugin de seguridad gratuito es mejor para principiantes?

La versión gratuita de Wordfence tiene más de 4 millones de instalaciones. Un gran soporte comunitario significa que encontrar respuestas a los problemas toma minutos, no horas. También viene con excelente documentación para aprender conceptos de seguridad.

El asistente de configuración te ayuda a instalarlo rápidamente y a tomar buenas decisiones de seguridad de WordPress automáticamente. No necesitas conocimientos técnicos para obtener una protección sólida.

All-in-One Security proporciona una interfaz más sencilla si Wordfence te parece abrumador. Ambos ofrecen protección gratuita completa.

¿Demasiada seguridad puede ralentizar mi sitio?

Herramientas de seguridad de calidad como Wordfence y Cloudflare a menudo mejoran la velocidad. La CDN de Cloudflare hace que tu sitio sea más rápido al mismo tiempo que añade seguridad.

Único problema: Instalar múltiples plugins de seguridad duplica funciones y genera conflictos, reduciendo tu rendimiento.

La solución es elegir un plugin de seguridad integral que se ajuste a tus necesidades y ceñirte a él.

¿Con qué frecuencia debo actualizar WordPress?

Para actualizaciones menores, puedes actualizar automáticamente a las pocas horas de su lanzamiento. Pero aunque puedan ser actualizaciones menores, los parches de seguridad necesitan instalación inmediata.

Por otro lado, las actualizaciones mayores deben realizarse entre 1 y 2 semanas después de su lanzamiento para la mayoría de los sitios. Es importante probar primero en sitios de staging si tienes funcionalidades personalizadas complejas.

• Plugins: Revisión semanal de actualizaciones disponibles. Habilita las actualizaciones automáticas para plugins esenciales de confianza.
• Tema: Revisión mensual a menos que estés desarrollando activamente. Los temas cambian con menos frecuencia que los plugins.

Las actualizaciones regulares previenen el 33% de los hackeos exitosos porque la mayoría de los ataques explotan vulnerabilidades antiguas conocidas, no exploits de día cero.

Veredicto final: ¿Qué tan importante es la seguridad de WordPress para tu negocio?

La seguridad de WordPress ya no es opcional. Es la base sobre la que se construye todo lo demás.

Y con esta detallada lista de verificación de seguridad, acabas de implementar una protección que el 80% de los sitios de WordPress no tienen.

Ahora tienes copias de seguridad automatizadas que protegen tu trabajo y monitoreo en tiempo real que detecta amenazas antes de que se propaguen.

Además de eso, tienes sistemas de inicio de sesión reforzados que bloquean el 99% de los ataques, los cuales trabajan en conjunto con los firewalls de nivel profesional que has configurado.

Los 40 minutos que invertiste hoy evitan las facturas de limpieza de $2,000, la semana de inactividad, la pérdida de confianza del cliente y los meses de recuperación de rankings de búsqueda después de las brechas.

Has creado sistemas que protegen tu inversión mientras te enfocas en el crecimiento.

Ahora eso es un negocio inteligente.

¿Quieres tomar decisiones de negocio aún más inteligentes sobre seguridad?

• Comienza con nuestra guía completa de seguridad para WordPress para una comprensión más profunda de las amenazas y estrategias de protección más allá de esta lista de verificación.
• Compara soluciones de respaldo como Duplicator vs UpdraftPlus vs BackupBuddy para encontrar la herramienta de respaldo perfecta que se ajuste a las necesidades y presupuesto específicos de tu sitio.
• Si tienes una tienda en línea, asegura tu sitio de WooCommerce con protecciones especializadas para el procesamiento de pagos y los datos del cliente.
• Más allá de tus páginas, protege la comunicación con tus clientes asegurando tus formularios con protección por contraseña que salvaguarda tanto la información del usuario como la del negocio.
• Protege tu contenido premium con plugins de protección de contenido que impiden el acceso no autorizado a recursos exclusivos para miembros.
• Realiza auditorías de seguridad periódicas para detectar vulnerabilidades antes de que los atacantes las exploten y mantener la protección a lo largo del tiempo.
• Compara soluciones de firewall: Sucuri vs SiteGround vs Cloudflare para elegir el firewall de aplicaciones web que se ajuste a tus requisitos de seguridad.
• ¿No tienes tiempo para el mantenimiento? Explora los servicios de mantenimiento de WordPress que se encargan de las actualizaciones de seguridad, el monitoreo y la optimización por ti.

Estos recursos convierten tu base de seguridad en una fortaleza completa. Los negocios inteligentes no solo protegen lo que tienes, sino que se anticipan a las amenazas que aún no has enfrentado.