Guía básica de seguridad en WordPress: Configuración esencial paso a paso

por

Tener un sitio en WordPress es una gran ventaja: es flexible, fácil de usar y con miles de plugins que permiten hacerlo crecer.

Pero justamente por su popularidad, WordPress también es uno de los objetivos favoritos de los hackers.

Guía básica de seguridad en WordPress

La buena noticia es que con unos cuantos ajustes básicos puedes proteger tu sitio de la mayoría de los ataques comunes.

En este tutorial aprenderás, paso a paso, cómo configurar la seguridad esencial de tu WordPress sin necesidad de tener conocimientos técnicos avanzados.

Importante: Antes de realizar las siguientes optimizaciones, es recomendable hacer una copia de seguridad de la base de datos. Así podrás restaurar tu sitio en caso de que algo salga mal tras los cambios.

1. Mantén todo actualizado

Uno de los errores más comunes es dejar el sitio desactualizado. Cada versión nueva de WordPress, plugins o temas suele incluir parches de seguridad.

Asegúrate de actualizar WordPress al menos una vez a la semana.

Cómo hacerlo:

  • Ve a Escritorio > Actualizaciones.
  • Actualiza WordPress, los plugins y los temas cuando haya nuevas versiones disponibles.
  • Activa las actualizaciones automáticas para plugins desde Plugins > Plugins instalados. En la parte derecha de cada plugin tendrás la opción de activar las actualizaciones automáticas.
Guía básica de seguridad en WordPress: Configuración esencial paso a paso
Guía básica de seguridad en WordPress: Configuración esencial paso a paso

2. Usa contraseñas seguras y activa la autenticación en dos pasos

Las contraseñas simples como “123456” o “admin123” son un regalo para los atacantes. Usa siempre contraseñas largas (de al menos 10 caracteres), con letras, números y símbolos.

Además, añade una capa extra de seguridad con la autenticación en dos pasos (2FA): aunque alguien robe tu contraseña, necesitará un código temporal desde tu móvil.

Instala un plugin como WP 2FA o miniOrange para habilitarlo fácilmente.

3. Cambia el usuario “admin”

Si creaste el sitio con un nombre de usuario como “admin” o “administrador”, es recomendable eliminarlo y agregar uno nuevo.

Nombres de usuario como “admin” o “administrador” son los primeros que los atacantes buscan vulnerar.

Pasos básicos:

  1. Crea un nuevo usuario con rol de administrador desde Usuarios > Agregar usuario.
  2. Inicia sesión con ese usuario.
  3. Elimina el antiguo usuario “admin” yendo a Usuarios > Todos los usuarios > Borrar.
Guía básica de seguridad en WordPress: Configuración esencial paso a paso
Guía básica de seguridad en WordPress: Configuración esencial paso a paso

Consejo adicional: Si quieres incrementar la seguridad de la cuenta de administrador, usa un nombre generado (por ejemplo, wdDo1B7c) como usuario y jamás uses esta cuenta para hacer publicaciones públicas (como entradas de blog).

4. Limita los intentos de inicio de sesión

Los ataques de fuerza bruta consisten en probar miles de combinaciones de contraseñas hasta dar con la correcta.

Solución: instala un plugin como Limit Login Attempts Reloaded.

  • Configura un máximo de 3–5 intentos fallidos antes de bloquear temporalmente la IP.

5. Instala un plugin de seguridad confiable

Un buen plugin de seguridad refuerza tu sitio con firewall, escaneo de malware y alertas.

Opciones recomendadas:

Con cualquiera de ellos puedes:

  • Activar firewall para filtrar tráfico malicioso.
  • Configurar notificaciones de seguridad.
  • Programar escaneos de malware automáticos.

6. Realiza copias de seguridad periódicas

No importa cuánto protejas tu sitio: siempre existe el riesgo de un fallo. La mejor defensa es tener un respaldo actualizado que puedas restaurar en minutos.

Plugins recomendados:

  • UpdraftPlus (permite guardar en Google Drive, Dropbox, etc.).
  • Duplicator (ideal también para migraciones).

Configura copias automáticas semanales o incluso diarias, según la importancia de tu sitio.

7. Cambia el prefijo de la base de datos (opcional)

Por defecto, WordPress usa el prefijo wp_ en sus tablas de base de datos, lo cual facilita los ataques automatizados.

Cómo hacerlo sin riesgos:

(Nota: este paso es opcional y recomendable hacerlo en sitios nuevos o con experiencia previa).

8. Protege el archivo wp-config.php

El archivo wp-config.php contiene información crítica, como los datos de tu base de datos.

Medidas simples:

  • Mueve el archivo un nivel arriba de la carpeta pública. Si WordPress está instalado en /home/nombredesitio/public_html/, moverás wp-config.php de public_html a nombredesitio.
  • O bien, añade esta regla al archivo .htaccess:
<files wp-config.php>
order allow,deny
deny from all
</files>

Esto impedirá que cualquier usuario externo acceda a él desde el navegador.

Lee también: Gutenberg vs constructores de páginas: ¿Cuál es mejor para tu proyecto WordPress?

Conclusión

La seguridad en WordPress no tiene por qué ser complicada. Con estas medidas básicas:

  • Actualizaciones constantes.
  • Contraseñas seguras + autenticación en dos pasos.
  • Usuario único en lugar de “admin”.
  • Intentos de login limitados.
  • Plugins de seguridad confiables.
  • Copias de seguridad periódicas.
  • Protección extra para base de datos y wp-config.php.

Tu sitio estará protegido contra la mayoría de las amenazas más comunes. Dedica unos minutos cada mes a revisar la seguridad de tu WordPress y tendrás la tranquilidad de que tu proyecto está a salvo.

Si no quieres complicarte lidiando con aspectos técnicos en tu sitio, o prefieres que un profesional lo haga por ti, te ofrezco el servicio de Optimización de Seguridad de WordPress.

Con este servicio incluyo las optimizaciones recomendadas en este tutorial y otras más avanzadas.

También te recomiendo mi servicio de Mantenimiento y Soporte para WordPress.

Avatar de WPLuis
Luis Antonio

Hola, me llamo Luis y soy experto en desarrollo, soporte, mantenimiento y seguridad web. Tengo más de 20 años de experiencia en la industria en los que he trabajado con clientes satisfechos de todo el mundo.

Deja un comentario