
Antes de comenzar este artículo, quiero dejar claro un aspecto fundamental de la seguridad WordPress: WordPress es seguro. Al menos, todo lo seguro que puede ser un software conectado a internet y accesible por cualquiera, desde cualquier parte del mundo.
Puede que alguna vez hayas escuchado o leído que no lo es, que sufre más ataques que cualquier otro gestor de contenidos. Sí, pero no.
Es cierto que por tratarse del CMS más utilizado en internet, sufre un mayor número de ataques que otros. Eso no quiere decir que la seguridad de WordPress sea peor, sólo que lo intentan más. Cuestión de números: Más intentos, más posibilidad de rascar algo.
Pero la otra cara de la moneda está en la comunidad. Precisamente por ser uno de los softwares más utilizados a nivel mundial, hay mucha gente detrás. No sólo usuarios que pueden notificar cualquier incidencia que detecten. También voluntarios que trabajan para mejorar el código cada día, y para arreglar en muy poco tiempo (a veces horas) cualquier fallo de seguridad que se detecta.
Incluso hay personal de algunas empresas (gente que comercializa plugins de seguridad mayoritariamente) que se dedica a buscar vulnerabilidades, tanto en el core de WordPress como en los plugins más utilizados, para detectarlas y notificarlas antes de que sean descubiertas por «los malos».
Es decir, la seguridad WordPress no es ni mejor ni peor que la de cualquier otro gestor de contenidos. Tampoco es más ni menos seguro que una web hecha a medida. Cada uno de ellos tiene sus debilidades y sus fortalezas. La clave está en conocer las del software que utilizas y saber qué puedes hacer para aumentar aún más su seguridad.
Puede que WordPress sufra más ataques (esto no quiero decir que tengan éxito, sólo que los sufre), pero también tiene muchos más medios para evitarlos e, incluso, prevenirlos.
Eso sí, para que tu web esté segura, tú también tienes que poner tu granito de arena. ¿Cómo? Es lo que te voy a explicar en este artículo.
Algunas de las medidas de seguridad WordPress que explicaré a continuación, puedes llevarlas a cabo hoy mismo sin necesidad de hacer grandes cosas y sin apenas conocimientos técnicos. Para otras, necesitarás ayuda.
Empezamos…
Índice
Mejorar la Seguridad WordPress sin apenas conocimientos técnicos
Las medidas que voy a explicar a continuación puedes llevarlas a cabo ahora mismo y sin tener ningún máster en informática, sólo con lo que sabes. De hecho, deberías aplicarlas cuanto antes y seguir haciéndolo en adelante para aumentar la seguridad de tu WordPress.
Tener las actualizaciones al día
Si se detecta una vulnerabilidad en el core, un plugin o un tema, la forma de arreglarla es mediante una actualización. Si prefieren no actualizar nada por si se rompe algo, o quien te montó la web dice estar encargándose, pero las actualizaciones se acumulan, tu web va siendo cada vez más insegura.
Como ya hablamos de las actualizaciones de WordPress, su importancia y cada cuanto aplicarlas, no me alargaré con esto.
El administrador sólo para administrar
Un método habitual de ataque es la fuerza bruta. Es decir, un robot rellena el formulario de inicio de sesión con nombres y contraseñas al azar hasta que consigue acceder y hacerse con el panel de control. Y evidentemente el administrador es con el que más daño pueden hacer.
Algunos de los usuarios con los que prueban son los que han encontrado por la web. Si tu administrador no publica entradas ni páginas, no hace comentarios, ni genera ningún tipo de contenido en la parte pública de la web, no tienen manera de conocer su nombre y, por tanto, tienen que recurrir al azar.
Más que al azar, a la estadística, ya que hacen pruebas con los nombres que más se repiten: «Admin», «Administrador», «Administrator», el dominio con y sin extensión…
Es decir, dale a tu administrador un nombre específico y que sea distinto del dominio o nombre del negocio, al menos de manera literal.
Ah, y cuando termines de usarlo, cierra sesión. Especialmente si utilizas un ordenador compartido, trabajas desde un espacio público, o necesitas conectarte desde un equipo que no es tuyo.
Usuarios limitados y con permisos mínimos
Si permites el registro de usuarios en tu web, seguramente será difícil mantenerlos limitados. Pero si no lo haces, ten sólo aquellos que realmente necesitas en cada momento, especialmente en lo relativo a administradores. Si más adelante te hacen falta, basta con crearlos.
Además, mantén los permisos lo más bajos posible. Es decir, si te basta un colaborador, ¿para qué dar permisos de autor?
Si quieres más información sobre los usuarios y sus distintos roles, puedes leer esta entrada.
Contraseñas seguras, un plus de seguridad en WordPress

Lo mencionado para los intentos de acceso con usuarios es igual de válido para las contraseñas. También intentan aquellas que más se repiten. Y aunque no lo creas, son cosas como «contraseña», «password», «12345», idéntica al usuario, el dominio…
Crea claves seguras, con más de 11 caracteres y que incluyan mayúsculas, números y símbolos. Si quieres un poco de ayuda, usa este checklist. En WordPress también puedes recurrir al propio generador de contraseñas que incluye el formulario para crear y editar perfiles.
Hacer copias de seguridad periódicamente
Y guardarlas fuera del servidor. Si pasa lo peor, al menos podrás recuperar el contenido.
Además, esto no sólo es útil para casos de ataques, también si borras algo que no debes, si una actualización falla o cualquier otra situación del día a día.
Ya hablamos en su día de las copias de seguridad y la mejor manera de hacerlas.
Elegir un buen servidor para tu web
Lo sé, me repito más que el ajo con el tema de elegir un buen hosting. Pero es que un buen servidor marca la diferencia en todos los sentidos. En la seguridad también.
Un buen servidor tiene implementadas (o permite activarlas) medidas adicionales de seguridad, que pueden parar un ataque antes de que acceda a la web.
Como ya sabes, siempre recomiendo SiteGround, Raiola Networks y Webempresa. Si prefieres otro, en este artículo te explico qué debes tener en cuenta a la hora de elegir.
Seguridad WordPress para usuarios medios
Este grupo de medidas también es recomendable aplicarlas para añadir un nivel más de seguridad a tu WordPress. Pero a diferencia de las anteriores, según los conocimientos que tengas, es posible que necesites ayuda. Si es así, puedes escribirme.
Certificado SSL e implementar https
Ya hemos hablado anteriormente de porqué deberías tener implementado https. Esto es especialmente importante si vendes a través de tu web, pero si no lo haces, también es una de las medidas básicas de seguridad que puedes añadir.
Recuerda que si no sabes hacerlo, puedo ocuparme por ti.
Cambiar el prefijo de la base de datos

En el momento de la instalación de WordPress, a cada tabla de la base de datos se le añade un prefijo. Por defecto, wp_. El instalador permite modificarlo y colocar uno personalizado simplemente cambiando el valor de la caja de texto correspondiente.
Tan sólo cambiando esas dos letras, estás añadiendo seguridad extra a tu WordPress ante intentos fraudulentos de modificar la base de datos. Adivinar qué prefijo has utilizado será mucho más difícil, especialmente si usas caracteres al azar.
El mejor momento para implementar esta medida es al instalar WordPress, aunque los usuarios más básicos no lo hacen por miedo a «romper algo» antes de empezar.
Posteriormente, con la web ya en producción también puede modificarse el prefijo, pero es un proceso delicado que no es recomendable que haga alguien sin los conocimientos técnicos suficientes.
Instalar plugins de Seguridad para WordPress específicos
Instalar un plugin es algo tan fácil que casi cualquier usuario WordPress sabe hacerlo. Pero en los plugins de seguridad la configuración no siempre es tan sencilla y puede requerir algunos conocimientos algo más avanzados.
Suelo recomendar Wordfence, ya que te permite detectar plugins sin soporte y pendientes de actualizar, limitar el número de intentos de inicio de sesión, monitorizar actividad sospechosa, escanear tu web en busca de malware…
Si quieres ir un poco más allá, puedes incluir plugins de captcha y/o autentificación en 2 factores en tu inicio de sesión.
Ocultar la versión de tu WordPress
Si sueles mantener las actualizaciones al día, esto no es tan significativo, pero aun así conviene hacerlo.
Cuando alguien sabe fehacientemente qué versión de WP tienes, también sabe qué vulnerabilidades puede explotar en tu web, si es su intención.
Para eliminar la información referente a la versión de WordPress, sólo tienes que añadir a tu functions.php o, mejor todavía, a tu plugin de snippets las siguientes líneas:
remove_action('wp_head', 'wp_generator');
add_filter('the_generator', '__return_false');
Deshabilitar los editores de plugins y temas
En los menús de la administración «Plugins» y «Apariencia» hay dos secciones que permiten modificar los ficheros de cualquier plugin y tema instalado.
Estas opciones son muy peligrosas. Cualquiera que pueda acceder con un administrador a tu web (fuerza bruta o que has dejado sesión abierta donde no debías), puede alterar esos ficheros con total libertad para inutilizar la web o insertar código malicioso con distintos fines.
Puedes aumentar la seguridad WordPress notablemente haciéndolos desaparecer de tu administración. Sólo tienes que incluir en tu wp-config.php esta línea:
define( 'DISALLOW_FILE_EDIT', true );
Ojo con modificar este fichero si no sabes lo que haces. Si nunca lo has tocado antes, mejor pide ayuda.
Un básico de la seguridad WordPress: Proteger tu wp-config.php
Este fichero incluye, entre otras cosas, la información de acceso a la base de datos. Así de sensible es. Así que es lógico que lo tengas bien protegido.
Una buena práctica de seguridad WordPress es establecer sus permisos chmod en 600. Es decir, que el sistema pueda leer y escribir en él, pero no se pueda acceder a su contenido por otras vías.
Puedes añadir una capa adicional de seguridad protegiéndolo también desde el .htaccess con el siguiente código:
<files wp-config.php>
order allow,deny
deny from all
</files>
Y si por alguna razón necesitas todavía más, puedes copiar su información fuera del directorio público de tu web, aunque este proceso es un poco más elaborado y no voy a desarrollarlo aquí.
Maximizar la Seguridad en WordPress
Las siguientes medidas son para ir un paso más allá. Todas las anteriores te permiten tener una web mucho más segura que la media, pero con estas, te disparas.
Anular la ejecución de PHP en directorios que no lo necesitan
Concretamente uploads (en wp-content) es un directorio donde sólo debería haber imágenes, PDFs y similares, ya que es el directorio donde se guardan los ficheros subidos por los usuarios de la web y el gestor de medios no permite subir otros tipos como PHP o JavaScript.
Sin embargo, al tener permisos de acceso menos estrictos que otros directorios, podría ser explotado por un hacker para ejecutar código malicioso desde el navegador.
Para impedirlo, basta con bloquear dicha ejecución. Para ello hay que crear un fichero .htaccess dentro del directorio y en él añadir este código:
<Files ~ ".+\.php">
Deny from all
</Files>
Otra carpeta donde se puede tomar esta misma medida es en wp-includes, ya que todos sus ficheros deben ser llamados desde el propio código de WordPress.
Impedir indexación y exploración de directorios
Un buen hosting (sí, otra vez) seguramente ya tiene implementadas las configuraciones necesarias para evitar que se pueda ver el contenido de un directorio desde el navegador. No obstante, nunca está de más asegurar la jugada.
Puedes hacer tú la configuración desde el panel de tu servidor, si no está aplicada por defecto, añadir un fichero index.php vacío a cada directorio o implementar el código necesario en .htaccess:
Options -Indexes
Deshabilitar XML-RPC
Hoy en día xmlrpc.php ya casi no se utiliza en WordPress e, incluso, es posible que desaparezca en un futuro próximo.
A pesar de su poco uso, esta librería está activada por defecto y abre la puerta a que los hackers la usen de diversas maneras, por ello, lo mejor es deshabilitar su ejecución desde .htaccess:
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
Proteger wp-admin y wp-login.php
Consiste en añadir una contraseña adicional al directorio de la administración y al fichero de inicio de sesión. La manera más fácil de hacerlo es desde el propio panel de control del hosting.
No obstante, si has implementado medidas anteriores, como limitar el número de intentos de inicio de sesión, la doble autentificación y el captcha, puedes saltarte esta con bastante tranquilidad.
En cualquier caso, no la pongas en práctica si tu web permite el registro de usuarios (por ejemplo, un eCommerce o un membership) y tienen que acceder a esas áreas.
Eliminar ficheros de licencia o el acceso a ellos
En realidad, los ficheros readme.html y license.txt no indican la versión de WordPress que está instalada, pero su contenido sí puede dar pistas.
Dado que estos ficheros no son necesarios para que WordPress funcione, puedes borrarlos. Para evitar tener que repetir esta tarea cada vez que se actualiza el software, también es posible impedir su lectura desde .htaccess:
<files readme.html>
deny from all
</files>
<files license.txt>
deny from all
</files>
Existen más medidas que se pueden implementar para añadir seguridad a tu WordPress, pero te aseguro que si sólo implementas la mitad de estas, tu web ya será altamente segura.
Evidentemente no existen garantías de una seguridad 100% efectiva ni en WordPress ni en ningún otro software, pero cuantas menos puertas dejes abiertas, más opciones de que los hackers se queden fuera.
Por cierto, no pienses que los hackers van a dejar tranquila tu web por ser pequeña, conocida sólo localmente o no incluir información confidencial. Aunque sólo vemos en las noticias los hackeos a las webs de instituciones, periódicos o grandes empresas, hay millones de ellos a diario.
Pueden redirigir ciertas versiones de tu web, como la móvil, a otras páginas. O instalar código malicioso que capte información de tus visitantes. O que explote los recursos de tu servidor para sus propios fines…
Un hackeo casi nunca es tan leve como uno de esos cambios de contenido tan vistosos que salen en las noticias que acabo de mencionar, o tan dramático como el robo de información o dinero que vemos en las películas. Suelen ser mucho más sutiles y pasar mucho más desapercibidos. De ahí, la importancia de prevenirlos.
Recuerda que si quieres mejorar la seguridad de tu WordPress y no sabes hacerlo, puedo ayudarte, escríbeme.

Auditoria de Seguridad WordPress
Un informe personalizado con todas las acciones que puedes tomar para hacer tu web más segura.
Deja una respuesta