Introducción y por qué importa
WordPress impulsa alrededor del 40–43% de los sitios web en Internet, y su popularidad lo convierte en un blanco habitual para ataques y malware. Cuando un sitio se ve comprometido no solo se resiente el SEO o las ventas: también se pone en riesgo a los visitantes y la reputación de la marca.
Contenido del artículo
Aquí tienes medidas prácticas —a nivel aplicación y servidor— con ejemplos y comandos sencillos de aplicar. Si necesitas infraestructura gestionada y soporte 24/7, SOLTIA ofrece VPS, servidores dedicados, cloud y Guía Completa para Principiantes">Hosting WordPress Hispano: Guía Completa para Elegir en 2026">hosting WordPress con infraestructura propia en España y uptime 99.9%.
Checklist rápida (prioriza estas acciones)
- Mantén WordPress, temas y plugins siempre actualizados: wp core update; wp plugin update –all
- Realiza backups automáticos y externos (offsite)
- Usa contraseñas fuertes y 2FA para todos los usuarios con acceso
- Elimina plugins y temas inactivos
- Endurece permisos de archivos y propietario correcto en servidor
- Instala WAF (a nivel servidor o CDN) y escaneo regular de malware
Endurecimiento paso a paso
¿Necesitas hosting rápido y seguro?
Servidores en España con soporte 24/7. Desde 3,89€/mes.
Ver planes de hosting1. Actualizaciones y versión PHP
Programa actualizaciones periódicas y pruébalas en staging antes de pasarlas a producción. Mantén PHP en una versión soportada y con parches aplicados. Comandos útiles:
wp core update
wp plugin update –all
2. Usuarios, contraseñas y 2FA
No uses nombres de usuario genéricos como «admin». Emplea contraseñas largas —un gestor de contraseñas ayuda— y apunta a 16+ caracteres cuando sea posible. Activa 2FA con plugins reconocidos (por ejemplo, Wordfence o Two Factor) y revisa roles: concede solo los permisos necesarios.
3. Permisos de archivos y wp-config.php
Asegura los permisos adecuados en el servidor y que los archivos pertenezcan al usuario web correcto. Ejemplos habituales (ajusta según tu entorno):
chown -R www-data:www-data /var/www/html
find /var/www/html -type f -exec chmod 644 {} \; && find /var/www/html -type d -exec chmod 755 {} \;
Para wp-config.php, añade define(‘DISALLOW_FILE_EDIT’, true); y, si el servidor lo permite, muévelo a un nivel superior para reducir exposición.
4. Plugins y temas: solo los necesarios
Instala extensiones desde fuentes confiables, revisa valoraciones y frecuencia de actualizaciones. Mantén un inventario de lo que tienes instalado y elimina lo que no uses. Los plugins de seguridad ayudan con escaneo y hardening, pero selecciona con criterio.
5. Límite de intentos y XML-RPC
Controla los intentos de login y bloquea XML-RPC si no dependes de él. Plugins como «Limit Login Attempts Reloaded» son útiles. Si prefieres, bloquea XML-RPC vía .htaccess o con el plugin apropiado.
Seguridad en servidor y WAF
La protección a nivel de servidor reduce la carga sobre PHP: un WAF puede detener tráfico malicioso antes de que llegue a la aplicación. Opciones comunes: WAF integrado en el proveedor (ModSecurity), WAF de CDN (Cloudflare) o soluciones WAF dedicadas.
| Medida | Ventajas | Limitaciones |
|---|---|---|
| WAF a nivel servidor | Bloquea ataques antes de PHP; suele integrarse con el hosting | Funciona según reglas; necesita ajuste y pruebas |
| WAF de CDN | Protege contra DDoS y puede acelerar contenido mediante caché | Requiere afinado del caching y configuración de cabeceras |
| Plugin de seguridad | Escaneo integrado y hardening dentro de WordPress | Consume recursos del servidor |
Tip: combina WAF a nivel servidor con un plugin de seguridad. De ese modo filtras tráfico malicioso en red y verificas integridad dentro de la propia instalación.
Detección, respaldo y respuesta ante incidentes
Backups regulares y pruebas de restauración
Automatiza backups según la frecuencia de cambios en tu sitio y guarda copias fuera del servidor principal (S3 u otro datacenter). Haz restauraciones de prueba con regularidad para asegurarte de que los procedimientos funcionan.
Escaneo y monitorización
Combina herramientas automáticas con revisión de logs. Wordfence o Sucuri detectan modificaciones de archivos y patrones sospechosos; en servidor revisa accesos con fail2ban y los logs de Apache/Nginx.
Plan de respuesta
Ten un procedimiento claro: aislar el sitio comprometido, restaurar desde un backup limpio, rotar credenciales y analizar vectores de entrada. Mantén una vía de contacto con el soporte del hosting para agilizar la recuperación.
Aviso: si el malware es persistente, no borres archivos a ciegas; una restauración controlada desde un backup limpio suele ser la opción más segura.
Comparativa rápida de prioridades
- Crítico: backups automáticos, actualizaciones, 2FA, permisos correctos
- Alto: WAF, escaneo continuo, limitación de intentos
- Medio: cambiar prefijo DB, desactivar XML-RPC si no se usa
FAQ
¿Qué plugin de seguridad elegir? Depende del caso: Wordfence y Sucuri son opciones consolidadas. Si tu hosting ya gestiona WAF y backups, prioriza la protección a nivel servidor.
¿Con qué frecuencia hacer backups? Al menos diarios; para comercios o sitios con mucha actividad, conviene aumentar la frecuencia (cada hora o de forma transaccional).
¿Puede el hosting ayudar? Sí. Un hosting profesional con soporte 24/7 y opciones de WAF/backup facilita la recuperación y la mitigación. SOLTIA ofrece estos servicios con infraestructura propia en España y soporte 24/7.
Aplicando estas prácticas reducirás de forma notable el riesgo de malware y hackeos. Empieza por lo básico —actualizaciones, backups y 2FA— y ve añadiendo capas: permisos, WAF y monitorización continua. Hacerlo por fases y apoyarte en un hosting profesional mejora la capacidad de recuperación y te da más tranquilidad.
