Cómo proteger tu página web de hackers

Mantén todo actualizado siempre

Las actualizaciones de seguridad corrigen vulnerabilidades conocidas. Cada día que pasa sin aplicar un parche de seguridad es un día en el que los bots automatizados pueden explotar esa vulnerabilidad en tu sitio. El 39% de los sitios WordPress hackeados utilizaban versiones desactualizadas del core, temas o plugins.

Configura actualizaciones automáticas para el core de WordPress (parches menores) y revisa manualmente las actualizaciones mayores. Para plugins, evalúa el riesgo: los plugins de seguridad, formularios y acceso a datos deben actualizarse inmediatamente. Los plugins decorativos pueden esperar un par de días mientras otros usuarios reportan posibles problemas.

Los temas también necesitan actualización, especialmente los que incluyen constructores visuales con sus propias dependencias. Si usas un tema hijo (child theme), las actualizaciones del tema padre no sobrescribirán tus personalizaciones.

Contraseñas y autenticación

Los ataques de fuerza bruta intentan miles de combinaciones de usuario y contraseña por minuto. Si tu contraseña de admin es «admin123» o «password», tu sitio será comprometido en cuestión de horas.

Usa contraseñas únicas de al menos 16 caracteres con letras, números y símbolos. Un gestor de contraseñas como Bitwarden o 1Password genera y almacena contraseñas seguras sin que tengas que memorizarlas.

Activa la autenticación en dos factores (2FA) para todas las cuentas de administrador. Plugins como WP 2FA o Wordfence Login Security añaden un código temporal (TOTP) que se genera en tu teléfono. Aunque alguien obtenga tu contraseña, no podrá acceder sin el segundo factor.

• Contraseñas de 16+ caracteres, únicas por servicio
• Gestor de contraseñas: Bitwarden (gratuito) o 1Password
• Autenticación 2FA obligatoria para todos los administradores
• Cambiar el nombre de usuario «admin» por uno personalizado
• Limitar intentos de login a 5 por IP

Firewall de aplicación web (WAF)

Un WAF (Web Application Firewall) actúa como un escudo entre tu sitio y los atacantes. Analiza cada petición entrante y bloquea las que coinciden con patrones de ataque conocidos: inyecciones SQL, cross-site scripting (XSS), inclusión de archivos remotos y más.

Cloudflare ofrece un WAF gratuito que protege contra los ataques más comunes y además mejora el rendimiento con su CDN. Para una protección más especializada en WordPress, Sucuri Firewall o Wordfence Premium ofrecen reglas específicas para vulnerabilidades de WordPress y plugins populares.

Configura el WAF para bloquear el acceso a archivos sensibles (wp-config.php, .htaccess, archivos de backup) y restringir el acceso al panel de admin (wp-admin) por IP si es posible. Esto reduce drásticamente la superficie de ataque.

Estrategia de backups a prueba de ataques

Los backups son tu última línea de defensa. Si todas las demás medidas fallan y tu sitio es comprometido, un backup limpio te permite restaurar la web en minutos en lugar de días.

No confíes solo en los backups de tu hosting. Implementa una estrategia 3-2-1: al menos 3 copias del sitio, en 2 medios diferentes, con 1 copia fuera del servidor. Plugins como UpdraftPlus o BlogVault automatizan los backups a Google Drive, Amazon S3 o Dropbox.

Programa backups diarios de la base de datos y semanales de los archivos. Verifica periódicamente que los backups son restaurables: un backup corrupto o incompleto es peor que no tener backup, porque genera una falsa sensación de seguridad.

• Backup diario de base de datos, semanal de archivos
• Almacenamiento externo: Google Drive, S3 o Dropbox
• Retención mínima de 30 días de historial
• Verificación mensual de restauración
• Excluir caché y logs de los backups para reducir tamaño

Monitorización y detección temprana

La detección temprana reduce drásticamente el impacto de un ataque. Cuanto antes detectes una intrusión, menos daño puede causar el atacante y más rápida será la recuperación.

Instala un plugin de monitorización de integridad de archivos como Wordfence o Sucuri Security. Estos plugins escanean los archivos del core de WordPress, temas y plugins, y te alertan si alguno ha sido modificado sin tu intervención.

Configura alertas para eventos sospechosos: logins desde IPs desconocidas, creación de nuevos usuarios administradores, cambios en archivos del core y modificaciones en la base de datos. Google Search Console también notifica si detecta malware o contenido hackeado en tu sitio.

Elegir un hosting seguro

La seguridad del hosting es la base sobre la que se construyen todas las demás medidas. Un hosting compartido barato con cientos de sitios en el mismo servidor aumenta el riesgo: si otro sitio del servidor es comprometido, el atacante puede llegar al tuyo.

Busca hosting que ofrezca: aislamiento de cuentas (contenedores o jail), firewall a nivel de servidor, escaneo automático de malware, actualizaciones automáticas de PHP y backups diarios. Proveedores como SiteGround, Kinsta o Cloudways cumplen estos requisitos.

Asegúrate de que el hosting soporte versiones recientes de PHP (8.1+) y MySQL/MariaDB. Las versiones antiguas no reciben parches de seguridad y son vectores de ataque conocidos.