La mayoría de los WordPress hackeados no cayeron por mala suerte ni por un ataque sofisticado: cayeron por descuidos evitables. La buena noticia es que proteger tu sitio está en gran parte en tus manos, y no requiere ser experto. En esta guía te doy las medidas que de verdad importan para mantener tu WordPress seguro —ordenadas de la más importante a la más avanzada—.
Llevo más de 25 años con WordPress y he limpiado muchos sitios hackeados. Casi todos se habrían evitado con lo que sigue.
Por qué se hackea un WordPress
WordPress es seguro de base; lo que falla suele ser el entorno: software desactualizado con fallos conocidos, contraseñas débiles, plugins o temas pirateados, y sitios sin copias de seguridad. Los ataques rara vez son personales: son bots que rastrean internet buscando esas debilidades. Cierra esas puertas y estás por delante del 95 % de los ataques.
1. Mantén todo actualizado
Es la medida número uno, sin discusión. WordPress, plugins y tema deben estar siempre en su última versión: la mayoría de las actualizaciones corrigen fallos de seguridad ya conocidos públicamente —y un fallo conocido sin parchear es una invitación—. Si te preocupa que una actualización rompa algo, hazlas con copia previa (o con un servicio que las pruebe antes).
2. Contraseñas fuertes y verificación en dos pasos
Usa contraseñas largas y únicas para WordPress, el hosting y el FTP —idealmente con un gestor de contraseñas—. Y activa la verificación en dos pasos (2FA) en el acceso: aunque alguien robe tu contraseña, sin el segundo factor no entra. Es de lo más efectivo y de lo menos usado.
3. Protege la página de acceso
El login es la puerta que más atacan los bots. Limita los intentos de acceso fallidos para frenar los ataques de fuerza bruta, y considera cambiar u ocultar la URL de acceso por defecto. Evita también el usuario «admin» genérico.
4. Un buen hosting y certificado SSL
El hosting es tu primera línea de defensa: un buen proveedor aísla cuentas, filtra tráfico malicioso y mantiene el servidor al día. Y asegúrate de tener un certificado SSL (el candado https) activo: cifra los datos entre tu sitio y tus visitantes.
5. Copias de seguridad automáticas
Las copias no evitan un ataque, pero son tu red de seguridad: si algo sale mal, restauras y sigues. Configura copias automáticas y guardadas fuera del servidor, y comprueba de vez en cuando que de verdad se pueden restaurar. Lo explico a fondo en la guía de copias de seguridad de WordPress.
6. Un plugin de seguridad bien elegido
Un plugin de seguridad añade firewall y escaneo de malware, una capa más sobre todo lo anterior. No es magia ni sustituye el mantenimiento, pero ayuda. Comparo dos de los más usados en Wordfence vs Sucuri.
7. Menos es más: plugins y temas de fuentes fiables
Cada plugin o tema es código que puede tener fallos. Instala solo los que necesites, desde fuentes oficiales o de confianza, y elimina los que no uses. Nunca instales plugins o temas «nulled» (pirateados): son una de las vías más comunes de infección.
8. Usuarios y permisos mínimos
Da a cada persona solo el rol que necesita: no todos tienen que ser administradores. Menos cuentas con poder total significan menos puntos de entrada si una credencial se ve comprometida.
¿Y si ya te hackearon?
Si ves redirecciones raras, spam o una advertencia de Google, ya no es momento de prevenir sino de limpiar. Sigue los pasos de qué hacer si tu WordPress fue hackeado y cierra después la vía de entrada con las medidas de arriba.
La forma sencilla: que alguien se encargue
Todo esto funciona, pero exige constancia: actualizar, vigilar, respaldar, mes a mes. Si prefieres no estar pendiente, eso es justo lo que cubre un mantenimiento WordPress, aplicado a negocios en seguridad WordPress para negocios.
Preguntas frecuentes
¿WordPress es inseguro?
No. WordPress es seguro de base; la mayoría de los problemas vienen del entorno: software desactualizado, contraseñas débiles o plugins pirateados. Bien mantenido, es tan seguro como cualquier plataforma profesional.
¿Basta con instalar un plugin de seguridad?
No por sí solo. Un plugin es una capa útil, pero la base son las actualizaciones, las contraseñas fuertes, las copias y un buen hosting. El plugin suma sobre esa base; no la reemplaza.
¿Cada cuánto debo revisar la seguridad de mi sitio?
Las actualizaciones conviene revisarlas al menos cada semana, y las copias deben ser automáticas y verificadas. Un mantenimiento mensual ordenado mantiene todo esto bajo control sin que tengas que recordarlo.
¿Prefieres no estar pendiente de la seguridad?
Me encargo de mantener tu WordPress actualizado, respaldado y protegido, para que tú te dediques a tu negocio.
Ver seguridad WordPress para negocios →