WordPress es seguro, pero necesita configuración
WordPress como core es un software maduro y bien auditado. Los problemas de seguridad vienen casi siempre de plugins desactualizados, contraseñas débiles, hosting mal configurado y falta de mantenimiento. Esta guía cubre las medidas técnicas esenciales para proteger tu instalación.
Actualizaciones: la medida más importante
El 90% de los hacks en WordPress explotan vulnerabilidades conocidas en plugins o themes desactualizados. Configura actualizaciones automáticas para parches de seguridad del core, y establece un proceso semanal de actualización de plugins en un entorno de staging antes de aplicar en producción.
Autenticación y acceso
Implementa autenticación en dos pasos (2FA) para todos los usuarios con rol de administrador o editor. Cambia la URL de login por defecto (/wp-admin) usando un plugin como WPS Hide Login. Limita los intentos de login fallidos y bloquea IPs sospechosas automáticamente.
Firewall y WAF
Un Web Application Firewall filtra el tráfico malicioso antes de que llegue a tu WordPress. Opciones populares son Wordfence (plugin con firewall a nivel aplicación), Sucuri (firewall DNS/proxy), o Cloudflare WAF (firewall a nivel CDN). Cada uno tiene su lugar dependiendo de tu arquitectura.
Hardening del servidor
A nivel de servidor, asegúrate de: deshabilitar la ejecución de PHP en /wp-content/uploads/, proteger wp-config.php con permisos 440, deshabilitar XML-RPC si no lo necesitas (es un vector de ataque común), deshabilitar la enumeración de usuarios, y configurar headers de seguridad (X-Frame-Options, Content-Security-Policy, X-Content-Type-Options).
Backups: tu última línea de defensa
Ninguna medida de seguridad es infalible. Configura backups automáticos diarios con retención de al menos 30 días, almacenados fuera del servidor. Verifica periódicamente que los backups se pueden restaurar correctamente. Un backup que no puedes restaurar no es un backup.
Monitorización continua
Implementa monitorización de integridad de archivos para detectar modificaciones no autorizadas, revisa los logs de acceso regularmente, y configura alertas para eventos sospechosos (nuevos usuarios admin, cambios en archivos del core, logins desde IPs inusuales).
Checklist de seguridad WordPress
En resumen: mantén todo actualizado, usa 2FA, implementa un WAF, haz backups diarios, monitoriza cambios, y audita tu instalación periódicamente. Si gestionas un ecommerce o manejas datos sensibles, considera una auditoría de seguridad profesional al menos una vez al año.
