Seguridad en WordPress: guía completa para proteger tu sitio en 2025 | Blog PEIGRIEGA
PEIGRIEGA Web & Hosting
WordPress y CMS

Seguridad en WordPress: guía completa para proteger tu sitio en 2025

calendar_month 15 May, 2025
schedule 8 min lectura
Autor Rodrigo Ruiz Diaz

WordPress es el CMS más atacado del mundo

Con más del 43% de los sitios web corriendo WordPress, es también el CMS más atacado. Los bots escanean internet constantemente buscando instalaciones de WordPress vulnerables. Esto no significa que WordPress sea inseguro; significa que necesitás configurarlo correctamente para estar protegido.

La base: mantené todo actualizado

El 60% de los hackeos exitosos de WordPress explotan vulnerabilidades conocidas con parches disponibles. Si hubieras actualizado, no habrías sido vulnerable.

  • WordPress core: Actualizalo siempre. Las actualizaciones menores de seguridad se pueden activar automáticamente desde Ajustes → Actualizaciones.
  • Plugins: Revisá las actualizaciones semanalmente. Activá actualizaciones automáticas para plugins de confianza.
  • Temas: Actualizá incluso temas que no usés, o mejor aún, eliminá los temas que no usás.

Nombre de usuario de administrador

El usuario "admin" es el primero que cualquier script de brute force prueba. Si tu usuario de WordPress se llama "admin", cambialo inmediatamente:

  1. Creá un nuevo usuario administrador con nombre diferente
  2. Reasigná todos los posts y páginas al nuevo usuario
  3. Eliminá el usuario "admin" antiguo
💡 Nombre de usuario ideal: Que no sea obvio ni predecible. Algo como "gerencia_pg" o "gestorweb" es mucho más difícil de adivinar que "admin" o el nombre de tu empresa.

Contraseñas fuertes para todos

WordPress incluye un generador de contraseñas fuertes. Úsalo para cada cuenta de usuario. Para el administrador, usa algo largo y complejo. Configurá que todos los usuarios con acceso al panel usen contraseñas fuertes.

Autenticación de dos factores (2FA)

Plugins como Wordfence o WP 2FA permiten agregar autenticación de dos factores al login de WordPress. Incluso si alguien tiene tu contraseña, no puede entrar sin el segundo factor (generalmente un código de una app en el teléfono).

Limitar intentos de login

Los ataques de fuerza bruta intentan miles de combinaciones de usuario/contraseña. Limitar los intentos de login bloquea la IP después de X intentos fallidos:

  • Wordfence incluye esta función
  • Limit Login Attempts Reloaded (plugin gratuito específico para esto)
  • Cloudflare también puede configurarse para limitar intentos de login

Cambiar la URL de wp-admin

Por defecto, el login de WordPress está en tudominio.com/wp-admin o /wp-login.php. Los bots buscan esta URL para atacarla. Cambiarla reduce significativamente los intentos:

  • WPS Hide Login: Plugin gratuito que te permite personalizar la URL de login
⚠️ No olvides la nueva URL: Si cambiás la URL de login y la olvidás, quedás bloqueado de tu propio sitio. Guardá la nueva URL en un lugar seguro.

Desactivar la edición de archivos desde el dashboard

WordPress permite editar archivos PHP de plugins y temas directamente desde el panel. Esto es un riesgo: si un atacante entra al dashboard, puede modificar código. Desactivalo agregando en wp-config.php:

define( 'DISALLOW_FILE_EDIT', true );

Permisos de archivos correctos

Los permisos incorrectos de archivos son una vulnerabilidad. Los valores correctos son:

  • Directorios: 755
  • Archivos: 644
  • wp-config.php: 600

Estos se pueden verificar y ajustar desde el Administrador de Archivos de cPanel.

¿Te pareció útil este artículo? ¡Compartilo!
RR

Rodrigo Ruiz Diaz

Especialista en infraestructura web y desarrollo en PEIGRIEGA. Me apasiona ayudar a empresas a escalar sus operaciones en internet mediante tecnología robusta y diseños excepcionales.

¿Tenés dudas o querés empezar ahora?

Nuestro equipo responde en minutos por WhatsApp. Sin tickets, sin esperas.