+10 consejos para mejorar la seguridad de WordPress

El sistema de gestión de contenidos (CMS) más utilizado es WordPress, que es responsable del 43,2% de todos los sitios web. Lamentablemente, su popularidad atrae a varios piratas informáticos que aprovechan las fallas de seguridad de la plataforma.

Esto no implica que WordPress tenga un sistema de seguridad deficiente, sino que también pueden surgir fallas debido a la falta de atención de los usuarios a la seguridad. Por lo tanto, es mejor tomar precauciones antes de que alguien intente hackear tu sitio web.

Discutiremos 13 consejos para mejorar la seguridad de WordPress y proteger tu sitio de diversos ciberataques. Esta guía incluirá las mejores recomendaciones y prácticas, tanto con y sin plugins de WordPress. Algunos métodos también funcionan con plataformas diferentes a WordPress.

La importancia de la seguridad de WordPress

Corres el riesgo de perder datos cruciales, activos y credibilidad si tu sitio web es hackeado. Además, un incidente puede poner en peligro los datos personales de tus clientes y la información de facturación.

Para 2025, se prevé que el costo de los delitos informáticos alcance los 10,5 billones de dólares al año. Indudablemente, no desearás ser incluido en esa lista.

Estos son algunos de los tipos de vulnerabilidades de seguridad de WordPress más comunes, según la base de datos de vulnerabilidades de WPScan:

• La falsificación de solicitudes en sitios cruzados (CSRF): obliga al usuario a realizar acciones no deseadas en una aplicación web confiable.
• El ataque de denegación de servicio distribuido (DDoS): incapacita los servicios en línea llenándolos de conexiones no deseadas, lo que hace que un sitio sea inaccesible.
• El bypass de autenticación: permite a los piratas informáticos acceder a los recursos de tu sitio web sin tener que verificar que es un usuario real.
• La inyección SQL (SQLi): obliga al sistema a ejecutar consultas SQL maliciosas y manipula los datos de la base de datos.
• El Cross-site scripting (XSS): inyecta código malicioso que convierte un sitio en un transportador de malware.
• La inclusión de archivos locales (LFI): requiere que el sitio procese archivos maliciosos en el servidor.

Los mejores consejos para aumentar la seguridad de WordPress

En esta sección, examinaremos seis consejos generales para WordPress que no requieren conocimientos técnicos complejos ni riesgos significativos. Incluso un principiante podrá realizar estas tareas básicas, como actualizar la aplicación de WordPress y eliminar los temas innecesarios.

1. Actualizar con frecuencia la versión de WordPress

WordPress publica con frecuencia actualizaciones de software para mejorar el rendimiento y la seguridad del software. Además, estas actualizaciones protegen tu sitio web de ataques cibernéticos.

Una de las formas más fáciles de mejorar la seguridad de WordPress es actualizar la versión. Sin embargo, casi el 50% de los sitios de WordPress utilizan una versión más antigua, lo que los hace más vulnerables.

Abre tu panel de administración de WordPress y ve a Escritorio > Actualizaciones en el panel del menú de la izquierda para ver si tienes la versión más reciente de WordPress. Te recomendamos que actualices tu versión lo antes posible si aparece que no está actualizada.

Debes estar pendiente de las fechas de lanzamiento de las futuras actualizaciones para garantizar que tu sitio web no funcione con una versión de WordPress obsoleta.

Además, sugerimos actualizar los temas y plugins instalados. Los temas y plugins que no están actualizados pueden interferir con el software central de WordPress recién actualizado, lo que puede causar errores y ser una amenaza.

Para eliminar los temas y plugins obsoletos, sigue estos pasos:

1. Debes acceder al panel de administración de WordPress y buscar la sección Escritorio > Actualizaciones.
2. Desplázate hacia abajo hasta las secciones de Plugins y Temas y revisa la lista de los plugins que deben actualizarse. Ten en cuenta que se pueden actualizar todos de una vez.
3. Pulsa en el botón «Actualizar plugins».

2. Utiliza credenciales de inicio de sesión seguras de Wp-admin

Un error común es usar nombres de usuario fáciles de entender, como «administrador», «admin» o «test». Esto aumenta el riesgo de ataques de fuerza bruta. Además, los atacantes también atacan sitios de WordPress sin contraseñas seguras.

Por lo tanto, sugerimos que el usuario y la contraseña sean más complejos.

Para crear una nueva cuenta de administrador de WordPress, sigue estos pasos:

Ve a Usuarios en el panel de control de WordPress y selecciona Añadir nuevo usuario.

Creaun nuevo usuario y asígnale el rol de Administrador. Añade una contraseña y luego pulsa el botón Añadir nuevo usuario.

La contraseña debe contener letras mayúsculas y minúsculas, números y símbolos. Dado que las contraseñas más largas son mucho más difíciles de descifrar, también recomendamos utilizar más de 12 caracteres.

Utiliza herramientas online como LastPass y 1Password si necesitas ayuda para crear una contraseña fuerte. Para mantener contraseñas seguras, también puede usar sus servicios de gestión de contraseñas. Por lo tanto, no tendrás que memorizarlas.

3. Configura una lista de bloqueo y seguridad para la página de administración

Activar el bloqueo de la URL protege tu página de acceso de direcciones IP no autorizadas y ataques de fuerza bruta. Necesitas un servicio de firewall de aplicaciones web (WAF) como Cloudflare o Sucuri para lograrlo.

Configurar una regla de bloqueo de zona con Cloudflare es posible. Se indican las URLs que se desean bloquear, así como el rango de IPs que pueden acceder a ellas. No serán accesibles por nadie fuera del rango de IP especificado.

La lista negra de rutas de URL es otra función de Sucuri. Primero, la URL de la página de inicio de sesión se agrega a la lista negra para que nadie la pueda ver. Luego, crea una lista de direcciones IP autorizadas para acceder de manera segura.

Puedes limitar el acceso a esta página configurando el archivo .htaccess de tu sitio web. Para acceder al archivo, ve al directorio raíz.

Esta regla se agregará a tu. htaccess para limitar el acceso a wp-login.php a una sola IP. Por lo tanto, los atacantes no podrán acceder a tu página de inicio desde otros lugares.

# Block IPs for login Apache 2.2
<files /wp-login.php>
order deny, allow
allow from MYIP
allow from MYIP2
deny from all
</files>
# Block IPS for login Apache 2.4
<Files "wp-login.php">
Require all denied
</Files>

Esta regla debe agregarse después de «#End WordPress», para que pueda funcionar correctamente. Incluso si no tienes una IP estática, esta regla se aplica porque puedes restringir los inicios de sesión al rango normal de tu ISP.

Esta regla también se puede usar para restringir otras URLs autenticadas, como /wp-admin.

4. Utilizar temas de WordPress confiables

Los temas de WordPress del tipo «nulled» son copias no autorizadas de los temas premium originales de WordPress. Estos temas se venden generalmente a un precio más bajo para atraer a los usuarios. Sin embargo, suelen tener muchos problemas de seguridad.

Los proveedores de temas nulled con frecuencia son piratas informáticos que alteran el tema premium original y agregan código malicioso, como malware y enlaces de spam. Además, estos temas pueden contener vulnerabilidades para otros ataques que puedan dañar tu sitio de WordPress.

Debido a que los temas nulled se distribuyen de forma ilegal, los desarrolladores no brindan soporte a sus usuarios. Por lo tanto, tendrás que ingeniártelas para solucionarlo y asegurar tu sitio de WordPress por tu cuenta si causan algún problema.

Para evitar esto, elige un tema de WordPress de su directorio oficial o de desarrolladores confiables. Si deseas comprar un tema premium, debes buscar opciones en mercados de temas oficiales como ThemeForest.

5. Configurar el certificado de seguridad SSL

El protocolo de transferencia de datos Secure Sockets Layer (SSL) encripta los datos que se comparten entre los usuarios y los sitios web. Esto hace que sea mucho más difícil para los atacantes robar información crucial.

Además, los certificados SSL mejoran la optimización del motor de búsqueda (SEO), lo que aumenta el número de visitantes y el tráfico del sitio web. Los sitios web que tienen un certificado de seguridad instalado utilizarán HTTPS en lugar de HTTP, lo que los hace fáciles de reconocer.

Una vez que hayas instalado un certificado SSL en tu cuenta de hosting, debes activarlo en tu sitio web de WordPress.

Los plugins como Really Simple SSL o SSL Insecure Content Fixer se encargan de los aspectos técnicos del SSL y de la activación en unos pocos clics. La versión premium de Really Simple SSL incluye la opción de activar los encabezados HSTS (Seguridad de transporte HTTP rigurosa), que obligan a usar HTTPS cuando se accede al sitio.

La última acción es cambiar la URL de tu sitio web de HTTP a HTTPS. Para hacerlo, ve a Ajustes > Generales y cambia el campo Dirección del sitio.

6. Eliminar los temas y plugins de WordPress que no se utilicen

Mantener plugins y temas no utilizados en el sitio, especialmente si no han sido actualizados, puede ser dañino. Los plugins y temas desactualizados aumentan la probabilidad de ciberataques porque los piratas informáticos pueden utilizarlos para acceder a tu sitio web.

1. Para eliminar un plugin de WordPress que no se ha utilizado, sigue estos pasos:
2. Entra en Plugins y elige Plugins instalados.
3. Se mostrará una lista de todos los plugin instalados. Bajo el nombre del mismo, haz clic en Borrar.

Ten en cuenta que recién después de desactivarlo, el botón de eliminar estará disponible.

Sin embargo, para eliminar un tema que no se usas, sigue estos pasos:

1. Ve a Apariencia > Temas desde tu panel de administración de WordPress.
2. Selecciona el tema que deseas eliminar.
3. Aparecerá una ventana emergente con información sobre el tema. En la esquina inferior derecha, selecciona el botón «Eliminar».

Cómo usar plugins de seguridad de WordPress

El uso de plugins es otro método para mejorar la seguridad de WordPress.

Es una forma sencilla de proteger tu sitio web. Sin embargo, ten en cuenta que no debes instalar todos estos plugins al mismo tiempo, ya que esto puede hacer más lento tu sitio web.

Para comenzar, considera tus necesidades para elegir los plugins más efectivos.

1. Configurar la autenticación de dos factores para Wp-admin

Puedes activar la autenticación de dos factores (2FA) para facilitar el proceso de iniciar sesión en WordPress. Este método de autenticación requiere la introducción de un código único para completar el proceso, agregando una segunda capa de seguridad a la página de inicio de sesión de WordPress.

Solo se puede acceder a este código a través de un mensaje de texto o una aplicación de autenticación de terceros.

Instala un plugin de seguridad de inicio de sesión como Wordfence Login Security para implementar 2FA en tu sitio web. Además, debes instalar una aplicación de autenticación de terceros, como Google Authenticator, en tu teléfono móvil.

Sigue estos pasos para activar la autenticación de dos factores después de instalar el plugin y la aplicación de autenticación:

1. Visita la página del plugin en tu administración de WordPress. Si estás usando la seguridad de acceso de Wordfence, ve al menú Login Security en el panel del menú de la izquierda.
2. Abre la pestaña Two-Factor Authentication.

3. Para escanear el código QR o introducir la clave de activación, usa la aplicación de tu teléfono móvil.
4. Introduce el código creado en la aplicación de tu teléfono móvil en el campo disponible en la sección de códigos de recuperación.
5. Para finalizar la configuración, haz clic en el botón ACTIVATE.

Además, descarga los códigos de recuperación proporcionados en caso de que pierdas el acceso al dispositivo que contiene la aplicación de autenticación.

2. Realizar copias de seguridad regulares de WordPress

Una tarea de mitigación importante es crear regularmente una copia de seguridad del sitio porque te ayudará a recuperar tu sitio después de incidentes, como ciberataques o daños físicos al centro de datos. Todos los archivos de la instalación de WordPress, incluida la base de datos y los archivos del núcleo, deben incluirse en el archivo de copia de seguridad.

Utilizando un plugin como UpdraftPlus, se pueden hacer copias de seguridad de un sitio web con WordPress. Para crear una copia con este plugin, sigue estos pasos:

1. Instala y activa el plugin UpdraftPlus.
2. Encuentra en la barra superior de tu administrador de WordPress, el botón de UpdraftPlus para ingresar a sus ajustes.
3. Para crear una copia de seguridad, haz clic en el botón «Hacer ahora una copia de seguridad».

4. Selecciona que archivos quieres incluir en tu copia de seguridad. Para una copia completa, incluye tu base de datos y todos tus archivos como se muestra en la siguiente imagen:

5. Haz clic en el botón «Hacer ahora una copia de seguridad» para iniciar el proceso de respaldo.

Una vez que tu copia de seguridad de tu sitio web esté disponible, podrás descargarla a tu equipo para tener un segundo resguardo y tendrás un botón de «Restaurar» en caso de ser necesario volver a ese punto.

Además, el plugin UpdraftPlus permite de forma gratuita configurar la programación de copias de seguridad automáticas, como así también la posibilidad de seleccionar una cuenta personal de almacenamiento en la nube para sumar otro espacio de resguardo.

3. Limitar la cantidad de intentos de inicio de sesión

WordPress permite a los usuarios realizar un número ilimitado de intentos de inicio de sesión en tu sitio web. Sin embargo, esto brinda una oportunidad ideal para los piratas informáticos de forzar la entrada usando una variedad de combinaciones de contraseñas hasta que encuentren la contraseña adecuada.

Por lo tanto, es crucial limitar los intentos de inicio de sesión fallidos para prevenir este tipo de ataques web. Además, reducir la cantidad de intentos infructuosos puede ayudarte a controlar cualquier actividad sospechosa que ocurra en tu sitio.

La mayoría de los usuarios sólo necesitan un único intento o unos pocos intentos fallidos, por lo que debes sospechar de cualquier dirección IP dudosa que alcance el límite de intentos.

Un método para reducir el número de intentos de inicio de sesión y aumentar la seguridad de WordPress es usar un plugin. Hay numerosas opciones disponibles, como:

• Limit Login Attempts Reloaded: limita la cantidad de intentos fallidos para direcciones IP específicas, agrega usuarios a la lista blanca o los bloquea por completo, e informa a los usuarios sobre el tiempo de bloqueo restante.
• Loginizer: proporciona características de seguridad de inicio de sesión como la autenticación de dos factores, reCAPTCHA y preguntas de inicio de sesión con desafíos.
• Limit Attempts de BestWebSoft: bloquea automáticamente las direcciones IP que superan el límite de intentos de inicio de sesión y las agrega a una lista de rechazos.

Un riesgo de implementar esta medida de seguridad es que un usuario fiable sea bloqueado en la administración de WordPress. Sin embargo, no debes preocuparte, ya que existen numerosas formas de recuperar cuentas de WordPress bloqueadas.

4. Convertir la URL de la página de inicio de sesión de WordPress en una nueva

Considera cambiar la URL de la página de acceso para mejorar la protección contra los ataques de fuerza bruta.

La URL de iniciar sesión para todos los sitios web de WordPress es misitioweb.com/wp-admin, por defecto. El uso de esta URL facilita el acceso de hackers a tu página.

Los plugins como WPS Hide Login y Change WP Admin Login permiten personalizar esta URL.

Si utilizas el plugin WPS Hide Login, sigue estos pasos para cambiar la URL de tu página de inicio de sesión de WordPress:

1. Ve a Ajustes > WPS Hide Login en tu panel de control.
2. Completa el campo de URL de acceso utilizando tu URL personalizada.
3. Para finalizar el proceso, haz clic en el botón Guardar cambios.

5. Cerrar automáticamente la sesión de los usuarios inactivos

Muchos usuarios dejan sus sesiones sin cerrarlas. De esta manera, alguien más con el mismo dispositivo puede acceder a sus cuentas de usuario y hacer uso de datos confidenciales. Esto se aplica especialmente a aquellos que utilizan computadoras públicas en bibliotecas públicas o cibercafés.

Como resultado, configurar tu sitio web de WordPress es fundamental para que los usuarios inactivos se desconecten automáticamente. Esta técnica es utilizada por la mayoría de los sitios web bancarios para evitar que personas no autorizadas entren a sus sitios web y protejan la información de sus clientes.

Una de las formas más fáciles de cerrar automáticamente las cuentas de los usuarios inactivos es usar un plugin de seguridad de WordPress como Inactive Logout. Este plugin puede dar de baja a los usuarios inactivos y enviarles un mensaje personalizado para avisarles de que su sesión terminará pronto.

6. Controlar las acciones de los usuarios

Para identificar cualquier actividad no deseada o maliciosa que ponga en peligro tu web, monitorea las actividades en tu área de administración.

Para aquellos que tienen varios usuarios o autores que acceden al sitio web, recomendamos este método. Esto se debe a que los usuarios pueden modificar configuraciones que no deberían, como cambiar temas o configurar plugins.

Al monitorear sus actividades, sabrás quién está a cargo de esos cambios no deseados y si una persona no autorizada ha accedido a tu sitio web de WordPress.

El método más sencillo para monitorear la actividad de los usuarios es usar un plugin de WordPress, como:

• WP Activity Log: monitorea los cambios en varios aspectos del sitio web, como publicaciones, páginas, temas y plugins. Además, registra los archivos que se han agregado, eliminado y modificado.
• Activity Log: permite monitorear varias actividades en el panel de administración de WordPress y establecer reglas para las notificaciones por correo electrónico.
• Simple History: soporta varios plugins de terceros como Jetpack, WP Crontrol y Beaver Builder, y también registra toda la actividad relacionada con ellos.

7. Examinar tu sitio en busca de malwares

Más de 450.000 nuevas aplicaciones potencialmente no deseadas (PUA) y malware se registran diariamente por el Instituto AV-TEST. Algunos programas maliciosos son incluso polimórficos, lo que significa que pueden cambiar para evitar la detección de seguridad.

Por lo tanto, es fundamental escanear regularmente tu sitio web porque los atacantes siempre crean nuevos tipos de ataques.

Afortunadamente, hay una gran cantidad de plugins que pueden escanear el malware y mejorar la seguridad de WordPress.

Los siguientes plugins de seguridad son recomendados por nuestros especialistas para instalar y utilizar:

• Wordfence: es un plugin de seguridad popular para WordPress que ofrece actualizaciones de firmas de malware en tiempo real y notificaciones de alerta que te informan si otro sitio ha bloqueado tu sitio debido a una actividad sospechosa.
• BulletProof Security: ofrece herramientas de copia de seguridad y restauración de la base de datos, una función de cierre de sesión inactiva y carpetas de plugins ocultas que no se pueden ver en la sección de plugins de WordPress para proteger tu sitio web de WordPress.
• Uno de los mejores plugins de seguridad del mercado es Sucuri Security, que ofrece una variedad de certificados SSL, escaneos remotos de malware y funciones de acción de seguridad post-hack.

Conclusiones

La inyección de malware y los ataques DDoS son sólo algunas de las muchas formas en que pueden manifestarse los ciberataques. Debido a la popularidad del CMS, los hackers frecuentemente atacan los sitios web de WordPress.

Por lo tanto, los propietarios de sitios web deben saber cómo proteger sus páginas. Para resumir, estos son 13 consejos para mejorar la seguridad de tu sitio web de WordPress:

1. Mantener el sitio web actualizado.
2. Use credenciales seguras de inicio de sesión de wp-admin.
3. Configurar la lista de bloqueo y seguridad para la página de administración.
4. Usar un tema de WordPress confiable.
5. Instalar un certificado SSL para garantizar la seguridad de la transferencia de datos.
6. Eliminar los temas y plugins de WordPress que no se utilizan.
7. Configurar la autenticación de dos factores.
8. Hacer copias de seguridad con frecuencia.
9. Limitar el número de intentos de inicio de sesión fallidos.
10. Modifica la URL de tu página de inicio de sesión de WordPress.
11. Cerrar la sesión de los usuarios inactivos automáticamente.
12. Supervisar el comportamiento de los usuarios.
13. Examinar regularmente tu sitio web para encontrar malware.

Sin embargo, garantizar la seguridad de un sitio no es un esfuerzo de una sola vez. Dado que los ciberataques están en constante evolución, es necesario reevaluar constantemente. Aunque siempre habrá riesgos, puedes tomar medidas de seguridad para reducirlos.