TOP 4 CONSEJOS PARA MEJORAR LA SEGURIDAD DE TU WordPress

Guía básica como tu ex, pero importante como tú

Bueno, si tienes una web en WordPress, y no quieres que te la hackeen mientras te tomas un café, sin tener que sacarte una ingeniería informática… Esto te interesa.

La seguridad no es solo cosa de frikis paranoicos; es sentido común digital. No hace falta ser Edward Snowden para proteger tu web, pero sí conviene tener un par de recursos para ir un poco más tranquil@. Hoy te comparto 4 consejos básicos. 

1. Mantener actualizado los plug-ins y versión de WordPress ✅. 

Tanto los plug-ins como WordPress reciben parches de seguridad cada dos por tres. Con lo cual si no lo actualizas al segundo, no es el fin del mundo, pero no actualizar frecuentemente tanto los plug-ins como la versión de WordPress puede dejar un agujero abierto, por el cual posiblemente no quieres que te den… 🔥💦🙊

Otra ventaja de ir actualizándolo, es que además de las mejoras de seguridad, cada actualización suele ir acompañado de mejoras de rendimiento, nuevas funciones, etc.

Seguridad WordPress

2. Si no usas un plugin o ni te acuerdas del porqué lo tienes. Bórralo 🗑

Haz limpieza, como en tu armario. Primero, mira bien su función y asegúrate de que en efecto no lo estás usando al 100%. Si no lo usas, fuera, nada de mantenerlo desactivado, lo ideal es borrarlo. No solamente por la misma cuestión de seguridad de antes, sino porque mejorará el rendimiento de la web. Menos contenido irrelevante = más velocidad en la web y mejor navegación.

Ejemplo real: En noviembre de 2024 se descubrió una vulnerabilidad crítica en el plugin “Really Simple Security” (antes conocido como “Really Simple SSL”), que estaba instalado en más de 4 millones de sitios WordPress. Esta vulnerabilidad permitía a los atacantes saltarse los controles de autenticación y tomar control total del sitio, incluso si el usuario tenía activada la doble autenticación (2FA). Lo más preocupante es que, debido a la gran cantidad de sitios donde el plugin seguía instalado, los atacantes pudieron automatizar los ataques e intentar acceder a miles de páginas web en muy poco tiempo. Algunos sitios ni siquiera usaban ya el plugin, pero lo tenían desactivado y olvidado, exponiéndose sin saberlo a ataques graves. Solo quienes borraron el plugin, o quienes lo mantuvieron actualizado al día, evitaron el problema.

3. Usuario y ruta de enlace 👤

Voy a evitar decir lo que todo el mundo ya sabe, como… “No uses la típica contraseña que pondría tu abuela”. Pero te compartiré, voy a dar varios recursos que yo uso, por si te sirven. Luego es “Up 2 you” el usarlos o no.

  • En esta web puedes comprobar qué tan fuerte es tu contraseña. Yo personalmente, cada vez uso más el gestor de contraseñas de Proton Pass, en el cual me genera una contraseña random y me la guarda. Ya sabes, al final la mejor contraseña es esa que ni tú misma te sabes. Así que lo que yo hago, es apuntarme de dónde es la password y luego la contraseña. Por ejemplo: “Google —> password: oiehdowied2873ey29”. 
  • NO pongas el típico usuario de “admin” por dios, no eres más guay por usar ese nombre. 
  • Activa la doble autenticación (2AF). Digamos que te da pereza tener una contraseña kilométrica (es comprensible), en ese caso te recomiendo activar el 2AF. Es como ponerle dos cerraduras a la puerta: si te sacan la contraseña, aún tienen que robarte el móvil. Más adelante comentaré cómo activarlo mediante un plugin de seguridad bastante completo. 

  • Cambia la ruta de acceso al panel de login. Por defecto es «tusitio.com/wp-admin» y eso lo sabe hasta mi perro.

    Una manera fácil de cambiarlo es usando el plugin WPS Hide Login.  Lo instalas, y una vez instalado, te vas a ajustes de WordPress y te saldrá algo así como la foto de abajo. Pones la ruta que quieras y ya está.

seguridad-login

4. Usa un plugin de seguridad (como Wordfence)🛡

Uno de los más conocidos y completos, que yo personalmente uso, es Wordfence. Es un plugin que te cubre la web como si fuera el portero matón del boliche, pero versión digital y sin cobrar entrada.

Hace escaneos regulares a tu web para ver si hay algún archivo, tema, plugin, lo que sea que pueda ser vulnerable o malicioso y te envía reportes frecuentes de los escaneos. Bloquea bots, evita ataques por fuerza bruta, SQL injections, XSS. Lo que más me gusta es que puedes configurar qué tan estricto quieres que sea a la hora de bloquear IP’s.
Además, te permite activar la doble autenticación en la web. Puedes activarlo, yendo a “Wordfence > Seguridad de acceso” y escaneando el QR con Google Authenticator.
En fin, tiene mil cosas más que te animo a explorar si te interesa. Pero para mí esto es lo más fundamental para empezar y lo que considero más útil. 

Dicho esto, esta mini-guía es la base. Si ya sabías algo, enhorabuena, tienes pulso digital. Y si no, empieza por aquí y ya te iré metiendo en cosas más turbias (y técnicas). Puedes leerlo según nivel de frikismo que tengas. 🤓🤓

Chaooo. 🤙