Actualizar tu versión de WordPress es la forma más simple pero más importante de mejorar la seguridad. WordPress lanza actualizaciones periódicas para corregir vulnerabilidades y mejorar el rendimiento. Si tu sitio usa una versión anterior (como 4.x), estás en grave riesgo.

Para verificar si tienes la última versión, ve al menú Actualizaciones en tu escritorio de WordPress. Además, también debes actualizar:

• Temas instalados.
• Plugins activos e inactivos.

Los temas y plugins obsoletos pueden entrar en conflicto con el núcleo de WordPress y, lo que es peor, ser puertas de entrada para atacantes.

Uno de los errores más comunes es usar nombres de usuario como “admin”, “administrador” o “prueba”. Esto facilita enormemente los ataques de fuerza bruta.

Recomendaciones:

• Cambia el nombre de usuario por defecto por uno único y difícil de adivinar.
• Usa contraseñas seguras (WordPress te indica el nivel de seguridad).
• Considera usar un administrador de contraseñas para gestionarlas.

Cómo crear una nueva cuenta de administrador:

1. Desde el panel, ve a Usuarios → Agregar nuevo.
2. Crea un nuevo usuario con rol de Administrador.
3. Establece una contraseña segura y haz clic en “Agregar nuevo usuario”.
4. Luego, elimina la cuenta antigua con nombre vulnerable.

La autenticación de dos factores añade una segunda capa de seguridad al inicio de sesión. Además de tu contraseña, necesitarás un código único generado en tu teléfono.

Para habilitarla:

1. Instala un plugin como Wordfence Login Security.
2. Instala una app de autenticación como Google Authenticator en tu móvil.
3. Configura el plugin para requerir 2FA en los inicios de sesión.

En 2026, el 2FA ya no es opcional: es imprescindible para cualquier sitio que maneje información sensible.

Puedes proteger tu página de inicio de sesión (/wp-login.php o /wp-admin) permitiendo el acceso solo desde direcciones IP autorizadas.

Para ello, necesitas un servicio de firewall como:

• Cloudflare: Configura una regla de bloqueo de zona para restringir el acceso.
• Sucuri: Usa la función de lista negra de rutas URL y lista blanca de IPs.

Si tienes IP fija en tu hogar u oficina, esta medida es extremadamente efectiva.

Los informes de errores PHP son útiles para desarrolladores, pero mostrar vulnerabilidades a los visitantes es un grave fallo de seguridad. Puedes deshabilitarlos de dos formas:

• Editando el archivo wp-config.php y añadiendo:

  define('WP_DEBUG', false);

• Desde el panel de control de tu hosting (php.ini).

Los temas “nulled” (versiones pirateadas de temas premium) son una de las principales fuentes de infección por malware. Los atacantes insertan código malicioso en estos temas para tener control sobre tu sitio.

Solo descarga temas de fuentes oficiales:

• Directorio oficial de WordPress.
• Desarrolladores de confianza como Themeforest, Elegant Themes, etc.

Incluso con precaución, el malware puede colarse. Por eso es necesario escanear tu sitio frecuentemente con plugins especializados:

El 41% de los sitios WordPress son pirateados debido a vulnerabilidades en el hosting. Tu proveedor de alojamiento juega un papel crucial en la seguridad.

Características que debe tener un hosting seguro:

• Firewall de aplicaciones web (WAF).
• Copias de seguridad automáticas.
• Monitorización de malware.
• Soporte especializado 24/7.

El hosting WordPress de UsaStreams ofrece todas estas características y más, con servidores optimizados y protección avanzada.

SSL (Secure Sockets Layer) encripta la comunicación entre el navegador y tu servidor. Los sitios con SSL usan HTTPS en lugar de HTTP, y los navegadores los marcan como “seguros”.

Además de seguridad, SSL mejora el SEO (Google favorece sitios HTTPS) y la confianza de los visitantes.

Hoy en día, la mayoría de hostings ofrecen SSL gratuito (Let’s Encrypt). Actívalo desde el panel de control.

Las copias de seguridad son tu última línea de defensa. Si todo falla, podrás restaurar tu sitio a un estado anterior.

Métodos recomendados:

• Usar las herramientas de backup de tu hosting.
• Instalar un plugin como UpdraftPlus o BackWPup.
• Descargar manualmente archivos y base de datos (para los más técnicos).

Frecuencia recomendada: diaria para sitios activos, semanal para sitios estáticos.

El archivo .htaccess puede ser un poderoso aliado. Algunos ejemplos:

Bloquear acceso al wp-admin desde IPs no autorizadas:

# Permitir acceso solo a IP específicas
order deny,allow
deny from all
allow from 00.00.00.000  # Cambia por tu IP

Deshabilitar la ejecución de PHP en carpetas sensibles:

# En la carpeta /wp-content/uploads/

    deny from all

Puedes encontrar tu IP actual en WhatIsMyIP.

Si un usuario olvida cerrar sesión en un ordenador público, cualquiera podría acceder. Con un plugin como Inactive Logout puedes cerrar la sesión automáticamente tras un período de inactividad.

Además, puedes mostrar un mensaje de advertencia antes de cerrar la sesión.

Conocer la versión de WordPress facilita a los atacantes buscar vulnerabilidades específicas. Para ocultarla, añade este código al archivo functions.php de tu tema hijo:

remove_action('wp_head', 'wp_generator');

Esto elimina la etiqueta que muestra la versión en el código fuente.

Si prefieres simplificar, instala un plugin que agrupe múltiples funciones de seguridad. Recomendamos All in One WP Security & Firewall.

Características:

• Firewall básico.
• Protección contra hotlinking.
• Escáner de archivos.
• Bloqueo de IPs.

1. Accede al área de administración (si puedes).
2. Ejecuta un escaneo con Wordfence o similar y elimina el malware.
3. Actualiza todo: núcleo, temas y plugins.
4. Revisa la base de datos en busca de usuarios extraños o contenido inyectado.
5. Cambia todas las contraseñas (admin, FTP, hosting).
6. Restaura desde una copia de seguridad limpia si es necesario.
7. Refuerza la seguridad con las medidas que hemos visto.