La seguridad básica no es suficiente para webs profesionales. Si manejas datos de clientes, vendes online o tu web es crítica para tu negocio, necesitas seguridad avanzada.
Esta guía cubre técnicas profesionales de hardening que van más allá de instalar un plugin.
Complementa con nuestra guía sobre plugins de seguridad WordPress.
Seguridad en capas
La seguridad efectiva funciona en capas. Si una falla, las otras protegen.
| Capa | Protección | Herramienta |
|---|---|---|
| Servidor | Firewall, DDoS | Hosting/Cloudflare |
| Aplicación | WAF, malware | Wordfence |
| Autenticación | Login seguro | 2FA, contraseñas |
| Datos | Backups, encriptación | UpdraftPlus, SSL |
| Monitoreo | Alertas, logs | Wordfence, logs |
Hardening del servidor
Permisos de archivos
Configuración correcta:
| Tipo | Permiso |
|---|---|
| Carpetas | 755 |
| Archivos | 644 |
| wp-config.php | 600 o 400 |
Comando SSH:
find /path/to/wordpress -type d -exec chmod 755 {} \;
find /path/to/wordpress -type f -exec chmod 644 {} \;
chmod 600 wp-config.phpProteger wp-config.php
Añade al principio de .htaccess:
<files wp-config.php>
order allow,deny
deny from all
</files>Desactivar edición de archivos
En wp-config.php añade:
define('DISALLOW_FILE_EDIT', true);Esto impide editar temas/plugins desde el dashboard.
Limitar intentos de login
Con Wordfence o añadiendo a wp-config.php:
define('WP_LIMIT_LOGIN_ATTEMPTS', true);Autenticación avanzada
Autenticación de dos factores (2FA)
Imprescindible para:
- Administradores
- Editores
- Cualquier usuario con acceso al dashboard
Configurar con Wordfence:
- Wordfence → Login Security
- Activar 2FA
- Escanear QR con Google Authenticator
- Guardar códigos de recuperación
Contraseñas seguras
| Requisito | Mínimo |
|---|---|
| Longitud | 16 caracteres |
| Mayúsculas | Sí |
| Números | Sí |
| Símbolos | Sí |
| Única | Por cada sitio |
Usa gestor de contraseñas: Bitwarden, 1Password, LastPass.
Cambiar URL de login
Oculta wp-admin y wp-login.php:
- Instala “WPS Hide Login”
- Cambia URL a algo único (ej: /mi-acceso-secreto)
- Guarda la nueva URL
Firewall de aplicación (WAF)
Wordfence Firewall
Configuración recomendada:
- Wordfence → Firewall
- Optimize Firewall: Ejecutar y aplicar
- Protection Level: Extended Protection
- Brute Force Protection: Activar
Reglas importantes:
- Rate Limiting: Activar
- Block IPs: Bloquear después de X intentos fallidos
- Country Blocking: Bloquear países sin clientes (si aplica)
Cloudflare WAF
Capa adicional a nivel DNS:
- Crea cuenta Cloudflare (gratis)
- Configura DNS
- Activa modo “Under Attack” si necesario
- Configura reglas de firewall
Monitoreo y alertas
Configurar alertas Wordfence
- Wordfence → All Options → Email Alert Preferences
- Activar alertas para:
- Administrador bloqueado
- Usuario con acceso admin creado
- Plugin/tema actualizado
- Archivo core modificado
Revisar logs regularmente
Qué buscar:
- Intentos de login fallidos
- IPs bloqueadas frecuentes
- Cambios en archivos
- Nuevos usuarios creados
Auditoría de actividad
Plugin recomendado: WP Activity Log
Registra:
- Quién hizo qué
- Cuándo
- Desde qué IP
Protección contra malware
Escaneo regular
Wordfence:
- Wordfence → Scan
- Start New Scan
- Programar escaneos automáticos (diario o semanal)
Qué hacer si encuentras malware
- No entres en pánico
- Haz backup del estado actual (para análisis)
- Restaura backup limpio anterior
- Cambia todas las contraseñas
- Actualiza todo (WordPress, plugins, temas)
- Escanea de nuevo
- Revisa cómo entró (logs)
Prevención
- Nunca instales plugins/temas nulled
- Solo fuentes oficiales
- Actualiza siempre
- Elimina plugins/temas no usados
Backups como última defensa
Estrategia 3-2-1
- 3 copias de tus datos
- 2 tipos de almacenamiento diferentes
- 1 copia fuera del sitio
Configurar UpdraftPlus
- UpdraftPlus → Settings
- Programar: Diario (archivos), Diario (base de datos)
- Destino remoto: Google Drive o Dropbox
- Retención: Mínimo 7 días
Probar restauración
Un backup que no funciona no es un backup. Prueba restaurar en entorno de pruebas al menos una vez.
Checklist de seguridad avanzada
Configuración inicial
- Wordfence instalado y configurado
- 2FA activo para todos los admins
- Contraseñas de 16+ caracteres
- URL de login cambiada
- Edición de archivos desactivada
- Permisos de archivos correctos
Mantenimiento continuo
- Actualizaciones al día (semanal)
- Escaneos de malware (semanal)
- Revisar logs (mensual)
- Probar backups (trimestral)
- Auditar usuarios (trimestral)
- Revisar plugins instalados (trimestral)
Preguntas frecuentes
¿2FA es realmente necesario?
Sí. Protege incluso si tu contraseña se filtra. Es la medida más efectiva contra accesos no autorizados.
¿Cloudflare o solo Wordfence?
Ambos. Cloudflare protege a nivel DNS/CDN, Wordfence a nivel aplicación. Se complementan.
¿Cada cuánto hacer backups?
Depende de la frecuencia de cambios. Mínimo diario para tiendas online, semanal para blogs.
¿Qué hacer si me hackean?
Restaurar backup limpio, cambiar todas las contraseñas, actualizar todo, analizar cómo entraron.
¿Los plugins de seguridad ralentizan?
Mínimamente. Wordfence está bien optimizado. El beneficio supera el coste.
Conclusión
Seguridad mínima profesional
- Wordfence con firewall optimizado
- 2FA para todos los administradores
- Backups automáticos fuera del servidor
- Actualizaciones al día siempre
- Monitoreo de alertas activo
La seguridad no es un producto, es un proceso continuo.
¿Quieres hosting seguro por defecto? En Avantys incluimos protección a nivel de servidor, SSL gratuito, y backups automáticos en todos los planes.
Artículos relacionados del cluster
- Plugins de seguridad WordPress
- WordPress lento: causas y soluciones
- Mantenimiento WordPress profesional
- Copias de seguridad WordPress
- Plugins imprescindibles WordPress
- LiteSpeed Cache: guía completa
¿Quieres que lo hagamos por ti?
En Avantys gestionamos tu web, hosting y crecimiento digital de punta a punta. Tú a lo importante.
