Seguridad WordPress

Protege tu sitio web de ataques y amenazas

¿Por qué es Importante?

WordPress es el CMS más usado del mundo, lo que lo convierte en objetivo frecuente de ataques:

Malware

Código malicioso que infecta tu sitio

Hackers

Acceso no autorizado a tu admin

Spam

Comentarios y contenido basura

Paso 1

Configuración Básica de Seguridad

🔐 Contraseñas Fuertes

Características de una buena contraseña:
  • Mínimo 12 caracteres
  • Combina mayúsculas, minúsculas, números y símbolos
  • No uses información personal
  • Diferente para cada cuenta

Ejemplo: Mi$itio2024#Seguro!

👤 Usuario Administrador

  • NUNCA uses "admin" como nombre de usuario
  • Crea un usuario único y difícil de adivinar
  • Usa un email diferente al de contacto público

🔄 Mantén Todo Actualizado

  • WordPress core (núcleo)
  • Todos los plugins
  • Tema activo
  • PHP del hosting (nosotros lo manejamos)
Paso 2

Instalar Plugin de Seguridad

Wordfence Security
⭐ Recomendado
  • Firewall integrado
  • Escaneo de malware
  • Bloqueo de IPs maliciosas
  • Monitoreo en tiempo real
Sucuri Security
Alternativa
  • Auditoría de seguridad
  • Monitoreo de archivos
  • Limpieza de malware
  • Notificaciones de seguridad

⚙️ Configuración de Wordfence:

  1. Instala y activa Wordfence Security
  2. Ve a Wordfence → Dashboard
  3. Completa el setup inicial
  4. Activa el Firewall
  5. Configura Login Security
  6. Programa escaneos automáticos
Paso 3

Proteger el Acceso de Login

🚪 Cambiar URL de Login

Por defecto, WordPress usa /wp-admin que todos conocen:

  1. Instala plugin "WPS Hide Login"
  2. Ve a Ajustes → WPS Hide Login
  3. Cambia la URL a algo único: /mi-panel-secreto
  4. Guarda y anota la nueva URL

🔢 Autenticación de Dos Factores (2FA)

  1. Instala "Two Factor Authentication"
  2. Descarga Google Authenticator en tu móvil
  3. Configura 2FA en tu perfil de usuario
  4. Escanea el código QR con la app

⏰ Limitar Intentos de Login

Wordfence ya incluye esta función, pero también puedes usar:

  • "Limit Login Attempts Reloaded"
  • Bloquea IPs después de varios intentos fallidos
  • Configura: 3 intentos → bloqueo de 1 hora
Paso 4

Protección de Archivos

📁 Permisos de Archivos

Permisos recomendados:
  • Carpetas: 755 o 750
  • Archivos: 644 o 640
  • wp-config.php: 600

Estos permisos se configuran automáticamente en nuestro hosting

🔒 Proteger wp-config.php

Este archivo contiene información sensible. Agrega al .htaccess:

<files wp-config.php>
order allow,deny
deny from all
</files>

🚫 Deshabilitar Editor de Archivos

Evita que se editen archivos desde el admin. Agrega a wp-config.php:

define('DISALLOW_FILE_EDIT', true);
Paso 5

Copias de Seguridad Automáticas

Backups Incluidos

Tu hosting ya incluye backups automáticos diarios, pero es recomendable tener copias adicionales:

  • ✅ Backup diario automático del servidor
  • ✅ Retención de 7 días
  • ✅ Restauración gratuita

📦 Plugin de Backup Adicional

  1. Instala "UpdraftPlus"
  2. Configura backup automático semanal
  3. Guarda copias en Google Drive o Dropbox
  4. Incluye archivos y base de datos
Paso 6

Certificado SSL (HTTPS)

SSL Gratuito Incluido

Tu hosting incluye certificado SSL gratuito de Let's Encrypt:

  • ✅ Se activa automáticamente
  • ✅ Renovación automática
  • ✅ Cifrado de 256 bits

🔧 Forzar HTTPS en WordPress

  1. Ve a Ajustes → Generales
  2. Cambia ambas URLs a https://
  3. Instala plugin "Really Simple SSL"
  4. Activa la redirección automática

Monitoreo y Mantenimiento

📊 Revisiones Regulares

Semanalmente:
  • Actualizar plugins y temas
  • Revisar logs de seguridad
  • Verificar backups
Mensualmente:
  • Escaneo completo de malware
  • Revisar usuarios y permisos
  • Limpiar plugins no usados

🚨 Señales de Compromiso

Contacta soporte inmediatamente si notas:
  • Sitio muy lento sin razón aparente
  • Contenido extraño o enlaces sospechosos
  • Usuarios desconocidos en el admin
  • Archivos modificados sin tu conocimiento

Checklist de Seguridad

✅ Configuración Básica:
  • □ Contraseña fuerte
  • □ Usuario admin único
  • □ WordPress actualizado
  • □ Plugins actualizados
  • □ Tema actualizado
✅ Protección Avanzada:
  • □ Plugin de seguridad instalado
  • □ URL de login cambiada
  • □ 2FA activado
  • □ SSL/HTTPS funcionando
  • □ Backups automáticos
🚨 Si tu sitio fue hackeado:
  1. Cambia TODAS las contraseñas inmediatamente
  2. Contacta nuestro soporte técnico
  3. No entres en pánico - tenemos backups
  4. Documenta qué notaste de extraño

¿Necesitas ayuda con la seguridad?

Te ayudamos a configurar y mantener tu WordPress seguro

Consultar Seguridad