Seguridad WordPress: el checklist completo por capas

El checklist de seguridad en tres capas: lo que detiene al 90% de ataques, el endurecimiento que vale la pena y la vigilancia que acorta el desastre.

SF SeoFune · 4 de junio de 2026 · 3 min de lectura

La seguridad de WordPress no es un plugin: es una lista de costumbres: el CMS más usado del mundo es también el más atacado, casi siempre por bots automáticos que prueban las mismas diez puertas en millones de webs: cerrarlas es trabajo de una tarde: el checklist completo por capas.

Capa 1: lo que detiene al 90% de los ataques

  • Todo actualizado: la vulnerabilidad conocida en plugin desactualizado es la vía de entrada número uno: el protocolo de actualización es la primera medida de seguridad.
  • Contraseñas de gestor y usuarios mínimos: claves largas únicas, nada de «admin», y cada usuario con el rol mínimo que necesita: el redactor no es administrador.
  • Acceso blindado: verificación en dos pasos para administradores y límite de intentos de acceso: las dos medidas que convierten la fuerza bruta en ruido de fondo: el detalle, en proteger el login.
  • Copias externas probadas: la seguridad incluye asumir que algo entrará algún día: el sistema de copias es tu plan B incorporado.

Capa 2: el endurecimiento que vale la pena

Un plugin de seguridad serio (Wordfence, Solid Security o equivalente: uno, no tres) con su cortafuegos y escaneo activos: la edición de archivos desactivada desde el escritorio (la constante DISALLOW_FILE_EDIT: el editor de código del admin es regalo para intrusos): certificado y conexiones seguras en todo (HTTPS total y SFTP en lugar de FTP): borrar lo muerto (themes y plugins desactivados que nadie vigila): y el hosting como aliado: el hosting serio aporta cortafuegos de servidor, aislamiento y escaneos que ningún plugin iguala: la seguridad también se contrata.

Capa 3: la vigilancia (saber que pasó algo)

La diferencia entre el susto y el desastre es el tiempo de detección: escaneo periódico de integridad de archivos (el plugin de seguridad lo trae), alertas activadas (accesos de administrador, cambios de archivos, usuarios nuevos) y un vistazo mensual a usuarios registrados y Search Console (las acciones manuales por hackeo avisan ahí): en cartera multiweb, esta vigilancia se centraliza o no existe: si pese a todo entran, la respuesta paso a paso está en WordPress hackeado.

Preguntas frecuentes

¿Por qué atacarían mi web pequeña?
No te atacan a ti: atacan a WordPress en masa con bots: tu web es un recurso (servidor para spam, enlaces inyectados, malware a visitantes): el tamaño no protege: la pequeña sin medidas cae antes que la grande con ellas.
¿Ocultar la versión de WordPress o renombrar carpetas sirve?
Es seguridad por oscuridad: molestia menor para bots que no miran la versión: prueban el exploit directamente: el tiempo rinde más en las capas reales (actualizar, blindar acceso, cortafuegos) que en el camuflaje.
¿Necesito un plugin de seguridad si mi hosting ya protege?
Se complementan: el hosting para la muralla exterior (red, servidor), el plugin para lo específico de WordPress (login, integridad de archivos, reglas de aplicación): la redundancia aquí no es desperdicio: es defensa en profundidad.

Por dónde seguir

Las piezas con detalle propio: el login blindado y las copias: el peor escenario resuelto, en WordPress hackeado: y el hosting que suma seguridad, en la comparativa.