Leyendo

Cómo Asegurar WordPress y Protegerlo Contra Ataques o Hackeos

Asegura tu sitio WordPress y protégelo contra ataques. Descubre cómo fortalecer la seguridad de tu web y evitar problemas.

·6 Minutos de lectura

Cómo Asegurar WordPress y Protegerlo Contra Ataques o Hackeos

WordPress es un software de publicación y CMS muy popular para crear sitios web. Debido a su popularidad, es un objetivo frecuente para piratas informáticos o hackers.

Para protegerte de los ataques, debes asegurar WordPress. Aquí tienes un tutorial completo para proteger WordPress contra ataques o hackeos.

Tabla de Contenido

Asegurar y proteger WordPress contra ataques o hackeos
Hacer una auditoría de seguridad de WordPress

Asegurar y proteger WordPress contra ataques o hackeos

La siguiente página del codex proporciona varios pasos que puedes seguir para asegurar WordPress: Hardening WordPress.

Entiende que la seguridad de tu sitio WordPress depende de tu higiene informática y de buenos hábitos generales. Los trucos para mover o renombrar directorios mejoran la seguridad, especialmente contra ataques automáticos que se basan en la ubicación predeterminada de los archivos.

Más información sobre estos ataques: WPForce: Probar la Seguridad tu Sitio Web basado en WordPress

Antes de realizar cualquier cambio, haz una copia de seguridad completa. Si es posible, prueba las modificaciones en un entorno de desarrollo para evitar problemas en el sitio en producción.

Persona trabajando en un portátil con la página de inicio de WordPress en la pantalla. — Mantén tu sitio WordPress seguro y protegido. Aprende a mejorar la seguridad en WordPress.

Actualizar WordPress y escaneo de seguridad

Configura las actualizaciones automáticas para el núcleo de WordPress, plugins y temas desde el panel de administración o añadiendo en wp-config.php:

define('WP_AUTO_UPDATE_CORE', true);
add_filter('auto_update_plugin', '__return_true');
add_filter('auto_update_theme', '__return_true');

Usa plugins como Wordfence o Sucuri para escanear tu sitio en busca de vulnerabilidades. Estos te alertan si un plugin o tema tiene fallos conocidos. Revisa y elimina plugins o temas no actualizados o abandonados.

Más información: Configurar actualizaciones automáticas en WordPress.

Proteger wp-config.php

El archivo wp-config.php almacena información sensible como las credenciales de la base de datos. Aunque por defecto no es accesible desde la web, puedes moverlo fuera del directorio raíz para mayor seguridad. Por ejemplo, si WordPress está en /var/www/wordpress, mueve wp-config.php a /var/www y crea un nuevo archivo wp-config.php en la raíz con:

<?php
include('/var/www/wp-config.php');

Asegúrate de que el directorio destino no sea accesible desde internet. También puedes protegerlo con un archivo .htaccess:

<files wp-config.php>
order allow,deny
deny from all
</files>

En servidores Nginx, usa:

location ~* wp-config.php {
    deny all;
}

Cambiar el directorio wp-content

El directorio wp-content contiene plugins, temas y subidas. Cambiar su nombre o ubicación dificulta los ataques automatizados. Edita wp-config.php:

define('WP_CONTENT_DIR', dirname(__FILE__) . '/nuevo-directorio-content');
define('WP_CONTENT_URL', 'https://tudominio.com/nuevo-directorio-content');

Si moviste wp-config.php, usa la ruta completa:

define('WP_CONTENT_DIR', '/var/www/nuevo-directorio-content');

Nota: Algunos plugins pueden requerir ajustes tras este cambio. Prueba en un entorno de desarrollo.

Desactivar el editor de archivos

El editor de archivos de WordPress (Apariencia > Editor de temas) es un riesgo si un atacante accede al panel de administración. Desactívalo en wp-config.php:

define('DISALLOW_FILE_EDIT', true);

Instalar una extensión de seguridad para WordPress

Un plugin de seguridad es esencial. Los más recomendados en este año son:

Wordfence Security: Firewall, escáner de malware y protección contra fuerza bruta.
Sucuri Security: Auditorías, detección de malware y firewall.
Solid Security Pro: Protección contra ataques y monitoreo de cambios.
All-In-One Security (AIOS): Opciones completas y fáciles de configurar.
WP Cerber: Protección avanzada contra fuerza bruta y monitoreo.
Security Ninja: Análisis de seguridad automatizados, protección de inicio de sesión, bloqueo de IP y autenticación de dos factores (2FA).

Captura de pantalla del panel de control del plugin Security Ninja para WordPress, mostrando un análisis de seguridad con resultados, advertencias y fallos. — Seguridad Ninja: Monitoriza la seguridad de tu WordPress y corrige vulnerabilidades.

Funciones comunes incluyen detección de cambios en archivos, bloqueo de IPs maliciosas y alertas por correo.

Limitar la instalación de plugins o temas

Desactiva la instalación de plugins y temas para evitar que usuarios no autorizados o atacantes añadan código malicioso. Añade a wp-config.php:

define('DISALLOW_FILE_MODS', true);

Esto también desactiva las actualizaciones de plugins y temas, así que úsalo solo si gestionas las actualizaciones manualmente.

Asegurar el acceso de administrador a WordPress (2FA, doble autenticación)

Implementa autenticación de dos factores (2FA) con plugins como Wordfence, Google Authenticator o Two Factor. Estos añaden una capa adicional de seguridad al iniciar sesión, usando apps como Google Authenticator o códigos por correo.

Restringir el acceso de administrador a WordPress mediante un filtro IP

Restringe el acceso al panel de administración (wp-admin) a direcciones IP específicas. En Apache, crea un archivo .htaccess en /wp-admin:

order deny,allow
deny from all
allow from TU_IP

En Nginx, usa:

location /wp-admin {
    allow TU_IP;
    deny all;
}

Nota: Si usas IPs dinámicas, considera un plugin de seguridad con filtro IP dinámico o un VPN.

Bloquear ataques BruteForce

Los ataques de fuerza bruta buscan descifrar contraseñas con intentos repetidos. Protégete con:

Contraseñas fuertes (mínimo 12 caracteres, mezcla de letras, números y símbolos).
Eliminación de usuarios inactivos.
Plugins como Wordfence o Limit Login Attempts Reloaded para bloquear IPs tras intentos fallidos.

A nivel de servidor, usa Fail2ban: Cómo Defenderse Contra los Ataques de Fuerza Bruta con Fail2ban

Combatir SPAM

Instala plugins como Akismet o CleanTalk para filtrar SPAM en comentarios. También puedes añadir un CAPTCHA con plugins como reCAPTCHA o hCaptcha. Regístrate en sus sitios para obtener una clave API.

Usar el CDN Cloudflare

Cloudflare acelera tu sitio y lo protege con un firewall de aplicaciones web (WAF). Configura reglas para bloquear bots y ataques DDoS. Sigue este tutorial:

Hacer una auditoría de seguridad de WordPress

La clave de la seguridad WP es prevenir cualquier ataque. Realiza auditorías periódicas con plugins como Sucuri o WPScan. Revisa archivos modificados, permisos, usuarios y configuraciones. Sigue esta guía: Auditoría de seguridad en WordPress.

Finalmente, hemos revisado algunas herramientas al respecto:

Mi Carro Close (×)

Tu carrito está vacío