La seguridad en WordPress es un tema fundamental para cualquier propietario de un sitio web, ya que protege tanto los datos personales como la integridad de tu página frente a amenazas frecuentes. En este artículo ofrecemos una guía paso a paso, con un enfoque técnico y accesible, para mejorar la seguridad en WordPress mediante el uso de un complemento de seguridad y otras prácticas recomendadas.
Cómo mejorar seguridad WordPress
Principales amenazas de seguridad en WordPress
Antes de explicar cómo mejorar seguridad WordPress, es necesario conocer las amenazas más comunes que afectan a sitios realizados en WordPress. Este contexto nos permite entender mejor qué, cómo y por qué proteger ciertas áreas.
Ataques de fuerza bruta
Los ataques de fuerza bruta consisten en probar múltiples combinaciones de usuario y contraseña hasta adivinar las credenciales correctas. Para ello, los atacantes emplean herramientas automatizadas que realizan miles de intentos en segundos, siendo los nombres de usuario comunes, como «admin», los primeros objetivos. Este tipo de ataque no solo compromete la cuenta si se logra acceder, sino que además carga el servidor con peticiones constantes, ralentizando el rendimiento del sitio. Una vez dentro, el atacante puede modificar el sitio, acceder a datos sensibles y, en algunos casos, instalar malware, lo cual pone en riesgo la seguridad y confiabilidad de la página web.
Malware y scripts maliciosos
El malware es un código malicioso que puede infiltrarse en WordPress mediante plugins no oficiales (nulled), temas infectados y desactualizados o vulnerabilidades en el sistema. Este software puede robar información, redirigir el tráfico del sitio hacia otras páginas o instalar scripts no deseados que afectan la funcionalidad del sitio.
Cuando un sitio es infectado, los motores de búsqueda pueden marcarlo como peligroso, afectando su reputación y visibilidad en los resultados de búsqueda. La presencia de malware puede derivar en una pérdida significativa de tráfico y afectar la experiencia de los usuarios, además de requerir procesos de limpieza y recuperación costosos para restaurar la integridad del sitio.
Ataques DDoS
Los ataques DDoS buscan saturar el servidor de un sitio mediante un flujo masivo de solicitudes, lo que sobrecarga tus recursos y lo vuelve inaccesible para usuarios legítimos. Aunque no afectan directamente los datos del sitio, los ataques DDoS interrumpen el servicio, provocando pérdidas de tráfico y generando una mala experiencia para los visitantes.
Vulnerabilidades en XML-RPC
XML-RPC es una funcionalidad de WordPress diseñada para permitir conexiones remotas desde aplicaciones externas, pero esta característica es vulnerable a ataques. Los atacantes suelen aprovechar XML-RPC para realizar ataques de fuerza bruta o de denegación de servicio. Una vez explotada esta vulnerabilidad, los hackers pueden realizar intentos de inicio de sesión automatizados o enviar una gran cantidad de solicitudes para sobrecargar el servidor.
A menudo, si un sitio no requiere XML-RPC, dejarla habilitada es innecesario y representa un punto débil que podría ser evitado, limitando la exposición del sitio frente a estos ataques.
Mejorar seguridad WordPress: guía completa
Una vez analizadas y descritas las amenazas más frecuentes que pueden sufrir las páginas web hecha con WordPress, te mostramos cómo mejorar seguridad WordPress paso a paso. Presentamos algunas de las mejores prácticas recomendadas para asegurar tu web en WordPress.
No usar el usuario «admin»
El nombre de usuario «admin» es el primero que intentan adivinar los hackers en un ataque de fuerza bruta. Cambia este usuario predeterminado o crea uno nuevo con privilegios de administrador y elimina «admin». Para una configuración segura:
- Ve a Usuarios > Añadir nuevo y crea un usuario con privilegios de administrador.
- Después, elimina el usuario «admin» original, reasignando sus publicaciones al nuevo usuario.
La otra opción es cambiar el nombre de usuario desde la base de datos y, de este modo, no tenemos que eliminar el usuario principal de la web. Te muestro paso a paso cómo hacerlo:
- Accede al panel de la base de datos: accede a tu hosting o servidor e ingresa a phpMyAdmin.
- Selecciona la base de datos de tu sitio WordPress: en el menú izquierdo, elige la base de datos correspondiente al sitio. Los nombres suelen aparecer en formato
wp_nombre. Normalmente, solo habrá una base de datos, ya que estarán separadas en distintos entornos. - Localiza la tabla de usuarios: busca la tabla
wp_users(el prefijowp_puede variar si has usado un prefijo personalizado). Haz clic en ella para visualizar los usuarios registrados en el sitio. - Editar el usuario «admin»:
- Localiza el usuario con el nombre de usuario
admin. - Haz clic en Editar en la fila correspondiente a este usuario.
- En el campo
user_login, reemplazaadminpor el nuevo nombre de usuario que prefieras, asegurándote de que sea único y seguro.
- Localiza el usuario con el nombre de usuario
- Guarda los cambios: una vez modificado, haz clic en Continuar para guardar.
- Verifica el cambio en WordPress: accede al sitio e intenta iniciar sesión con el nuevo nombre de usuario para confirmar que todo funciona correctamente.
Comprobar que el prefijo de la base de datos no sea wp_
El prefijo de la base de datos por defecto en WordPress es wp_, lo cual facilita a los atacantes realizar inyecciones SQL dirigidas. Cambiar este prefijo a uno personalizado incrementa la seguridad de tu sitio.
¿Cómo comprobamos el prefijo de la base de datos en WordPress?
Para comprobar el prefijo de la base de datos en WordPress, dirígete a Herramientas > Salud del sitio en el panel de WordPress y entra en la sección Información. Abre la pestaña Base de datos y, si el prefijo sigue siendo wp_, te recomendamos modificarlo.
¿Cómo cambiar el prefijo de la base de datos en WordPress?
Para cambiar el prefijo de la base de datos en WordPress podemos hacerlo de una manera muy segura y sencilla, y sin nada de códigos ni de acceder a la base de datos. Nuestra recomendación es utilizar el plugin Brozzme DB Prefix para realizar este cambio de forma segura. Este plugin facilita el proceso sin necesidad de editar manualmente los archivos de la base de datos, minimizando el riesgo de errores.
Cómo configurar el plugin Wordfence
Wordfence es uno de los plugins de seguridad más completos, diseñado para proteger frente a ataques comunes como fuerza bruta, malware y accesos no autorizados. Este plugin tiene el objetivo de mejorar seguridad WordPress. Ofrece una licencia gratuita, aunque dispones de más funciones y protección con Wordfence Premium.
Paso a paso para configurar Wordfence
- Instalación: dirígete a Plugins > Añadir nuevo, busca Wordfence e instálalo. Para mayor seguridad, te recomiendo Wordfence Premium.
- Configuración inicial: tras activarlo, sigue el asistente de configuración para establecer los parámetros de seguridad y escaneo básico.
- Activa el cortafuegos: En Wordfence > Cortafuegos, selecciona el nivel de protección adecuado para tu sitio. Este cortafuegos filtra el tráfico malicioso antes de que llegue a tus archivos. Nada más instalar el plugin, saldrá un asistente de configuración para el cortafuegos, donde los primeros días estará modo aprendizaje para adaptarse a tu servidor.
- Bloqueo de IPs sospechosas: en la sección de Bloqueo, activa el filtrado automático de IPs que muestren comportamientos sospechosos.
Cómo desactivar XML-RPC
XML-RPC es una funcionalidad de WordPress que permite accesos remotos, pero es vulnerable a ataques de fuerza bruta y DDoS. Para desactivarlo, basta con activarlo desde Wordfence. Para ello, nos dirigimos a Seguridad de acceso > 2FA. Ahí encontraremos la opción Desactivar la identificación XML-RPC.
Si utilizas plugins como Jetpack, ten en cuenta que podría dejar de funcionar correctamente. Si tu objetivo es mejorar seguridad WordPress, nuestra recomendación es no instalar nunca Jetpack, ya que ralentiza mucho la web y utiliza esta opción XML-RPC que puede poner en riesgo tu página web.
Fortalecer las contraseñas y el acceso
Contar con contraseñas seguras es una base clave para mejorar seguridad WordPress. Usa contraseñas complejas que combinen letras mayúsculas, minúsculas, números y caracteres especiales. Y activa reCAPTCHA de Google: añade un sistema de reCAPTCHA en el formulario de acceso a WordPress para evitar que bots intenten iniciar sesión. Esto puede configurarse fácilmente en Wordfence en Seguridad de acceso. Para obtener las claves de reCAPTCHA accede a Google reCAPTCHA.
Implementar verificación en dos pasos (2FA)
La autenticación de dos factores (2FA) reduce el riesgo de accesos no autorizados al exigir una segunda verificación. Es decir, cuando queremos iniciar sesión en nuestro sitio web, además de incluir usuario y contraseña, nos pedirá un código extra que nos lo proporcionará una aplicación de doble verificación (como 2FAS Auth, Microsoft Authenticator y Google Authenticator).
Para activarlo, no dirigimos a Wordfence > Seguridad de acceso, activa 2FA, y pide a los usuarios de nivel administrador que también habiliten esta medida en sus accesos.
Escaneo regular de archivos
Detecta archivos vulnerables o malware mediante escaneos frecuentes. Wordfence permite programarlos automáticamente. En Wordfence > Analizar, configuramos el escaneo automático. Wordfence eligirá cuándo es mejor explorar tu página web. Los informes de Wordfence muestran las amenazas detectadas, las cuales puedes analizar y eliminar para mantener tu sitio seguro.
Limitar intentos de inicio de sesión
La limitación de intentos de inicio de sesión es crucial para frenar ataques de fuerza bruta. Wordfence permite establecer un límite de intentos, bloqueando IPs tras varios fallidos consecutivos. Configura esta opción en Wordfence > Todas las opciones > Cortafuegos para asegurar que solo los accesos legítimos tengan éxito.
Hacer un mantenimiento regular WordPress
Para mantener tu página web segura, unos de los puntos más importantes es hacer un mantenimiento web WordPress regular, teniendo todos los plugins y temas actualizados a la última versión. Además de hacer copias de seguridad periódicas para tenerlo todo asegurado.
Otro detalle a tener en cuenta es la versión de PHP. Tu página web tiene que tener una versión PHP actualizada en el servidor. Puedes verlo en Herramientas > Salud del sitio. Actualmente, se recomienda utilizar una versión de 8.2 de PHP.
Proteger el servidor con seguridad Anti-DDoS
Un servidor protegido con medidas anti-DDoS es esencial para evitar caídas provocadas por estos ataques. Muchos proveedores de alojamiento web ofrecen protección avanzada contra DDoS.
Verifica con tu proveedor de hosting que incluya estas medidas, o considera migrar a un servidor que ofrezca protecciones específicas contra DDoS. Si quieres encontrar el mejor servidor VPS de España y hacer una comparativa, te recomendamos mejor-servidor.com.
¿Es necesario cambiar u ocultar la URL de acceso a WordPress?
Desde Wordfence desaconseja ocultar la URL de acceso a WordPress, ya que todas las medidas de seguridad del plugin están mejoradas para usarse en los archivos y URL predeterminados de WordPress. En este vídeo te lo explican detalladamente (con sustítulos en español).
Consejos para mejorar la seguridad de WordPress
Al aplicar estas recomendaciones, tu sitio WordPress estará mucho más seguro frente a amenazas comunes. Wordfence es un aliado clave, pero no olvides realizar copias de seguridad regulares y mantener siempre los accesos y permisos bajo control.
Nuestra recomendación es tener la licencia premium de Wordfence, que ofrece más funcionalidades y mayor protección frente a ataques de fuerza bruta y tráfico de países ajenos a nuestro mercado.
Cada paso refuerza la protección de tu sitio, protegiendo tanto tu información como la de tus usuarios. ¡Tu sitio seguro está solo a unos clics!
Y como siempre, si necesitas ayuda para mejorar el sistema de seguridad de tu página web, puedes contactar con nosotros para tener un asesoramiento personalizado. En MAPODEC somos especialistas en seguridad de WordPress.