Seguridad inicial en WordPress (Checklist recomendado)
La mayoría de infecciones en WordPress ocurren por contraseñas débiles, plugins desactualizados o configuraciones básicas omitidas. Esta guía te ayudará a aplicar una seguridad inicial sólida desde el primer día.
1. Asegura el acceso de administrador
Usuario y contraseña
- Evita usar el usuario
admin. - Usa contraseñas únicas y fuertes (12+ caracteres).
- Activa 2FA si tu plugin de seguridad lo permite.
- Da acceso solo a quien lo necesite y con el rol correcto.
Consejo: Si varias personas administran el sitio, crea usuarios individuales. No compartas una sola cuenta admin.
2. Mantén WordPress, temas y plugins actualizados
Ve a Escritorio → Actualizaciones y revisa todo lo pendiente. Mantener el software actualizado reduce vulnerabilidades conocidas.
- Actualiza WordPress (núcleo), temas y plugins.
- Elimina plugins y temas que no uses.
- Evita plugins “nulled” o descargados de fuentes no oficiales.
Importante: Si un plugin no recibe actualizaciones por mucho tiempo, considera reemplazarlo por uno equivalente y activo.
3. Activa SSL (HTTPS) y fuerza navegación segura
- Asegúrate de que tu web cargue con
https://. - En Ajustes → Generales, verifica que las URLs inicien con HTTPS.
- Si tu sitio aún abre en HTTP, fuerza redirección a HTTPS.
Nota: SSL protege credenciales, formularios y datos de visitantes. También mejora confianza y SEO.
4. Instala un plugin de seguridad (recomendado)
Un plugin de seguridad ayuda a prevenir fuerza bruta, detectar cambios sospechosos y aplicar firewall básico.
Recomendación general
- Activa limitación de intentos de inicio de sesión.
- Configura alertas por correo (cambios de archivos, nuevos usuarios, etc.).
- Habilita reglas anti-bot si están disponibles.
Tip: Evita instalar 2 o 3 plugins de seguridad a la vez. Pueden chocar entre sí.
5. Cambia la URL de acceso o limita intentos
Muchas intrusiones comienzan por ataques masivos a /wp-login.php. Para reducir intentos:
- Activa limit login attempts (limitación de intentos).
- Opcional: cambia la URL de acceso con un plugin confiable.
- Bloquea IPs sospechosas desde tu plugin de seguridad.
6. Configura copias de seguridad (Backups)
- Asegúrate de contar con backups automáticos en el hosting (por ejemplo, JetBackup).
- Si el sitio es crítico, configura un backup adicional (offsite).
- Verifica que puedas restaurar (no solo “tener” backup).
Importante: La seguridad no es solo prevenir; también es poder recuperar tu web rápidamente.
7. Permisos de archivos y buenas prácticas
- No uses permisos 777.
- Mantén WordPress en carpetas estándar y evita archivos desconocidos.
- Revisa que no existan usuarios “extraños” en WordPress.
- Evita credenciales guardadas en equipos públicos.
Tip: Si notas que el sitio se vuelve lento de repente, aparecen redirecciones o anuncios, puede ser señal de infección.
Checklist rápido de seguridad inicial
- ✔ Usuario admin seguro y contraseñas fuertes
- ✔ WordPress, temas y plugins actualizados
- ✔ SSL activo y sitio funcionando por HTTPS
- ✔ Plugin de seguridad configurado (limitación de intentos)
- ✔ Backups activos y verificados
- ✔ Eliminación de temas/plugins que no se usan
¿Crees que tu WordPress fue comprometido?
Abrir Ticket de SoporteIncluye tu dominio, hora aproximada del problema y capturas si existen.
