Seguridad 13 min de lectura

Mantenimiento web seguro

Protege tu sitio web con las mejores prácticas de seguridad. Desde la prevención de hackeos hasta la recuperación ante incidentes, todo lo que necesitas saber.

Cada 39 segundos se produce un ataque informático a un sitio web. WordPress, por ser el CMS más popular del mundo (alimenta más del 43% de todos los sitios web), es el objetivo principal de hackers y bots maliciosos. Pero la popularidad de WordPress no es el problema: el problema es la falta de mantenimiento de seguridad.

El 95% de los hackeos en WordPress se deben a tres causas principales: plugins desactualizados, contraseñas débiles y hosting inseguro. Las tres son completamente evitables con un mantenimiento de seguridad adecuado. No necesitas ser un experto en ciberseguridad para proteger tu sitio, solo necesitas seguir las prácticas correctas de forma consistente.

En esta guía cubrimos todas las capas de seguridad que tu sitio web necesita: desde las medidas preventivas básicas hasta los protocolos de respuesta ante incidentes. Al implementar estas prácticas, reducirás drásticamente el riesgo de sufrir un ataque exitoso.

Actualizaciones: la primera línea de defensa

Las actualizaciones de WordPress, temas y plugins no son solo mejoras de funcionalidad: contienen parches de seguridad críticos. Cuando se descubre una vulnerabilidad, los desarrolladores lanzan una actualización que la corrige. Pero también publican los detalles técnicos de la vulnerabilidad, lo que significa que los hackers saben exactamente cómo explotar los sitios que no han actualizado.

El 52% de las vulnerabilidades de WordPress provienen de plugins, el 11% de temas y el 37% del core de WordPress. Mantener todo actualizado cierra estas puertas de entrada. La clave es hacerlo de forma segura: siempre con un backup previo, preferiblemente en staging primero, y verificando que no se rompe ninguna funcionalidad.

Configura las actualizaciones menores de WordPress para que se apliquen automáticamente (ya es el comportamiento por defecto). Para los plugins, evalúa caso por caso: plugins críticos como WooCommerce deben probarse en staging; plugins menores pueden configurarse para actualización automática. Revisa las actualizaciones pendientes al menos semanalmente.

  • Aplica las actualizaciones de seguridad en las primeras 24-48 horas
  • Configura actualizaciones automáticas para el core de WordPress
  • Prueba en staging las actualizaciones de plugins críticos
  • Elimina plugins y temas no utilizados: son vectores de ataque silenciosos
  • Suscríbete a las alertas de seguridad de tus plugins principales

Autenticación robusta y gestión de accesos

Las contraseñas débiles son la puerta de entrada más fácil para los atacantes. Los ataques de fuerza bruta prueban miles de combinaciones de usuario y contraseña por minuto. Si tu contraseña es "admin123" o el nombre de tu empresa seguido de un número, es cuestión de tiempo que la descifren.

Implementa una política de contraseñas robusta: mínimo 16 caracteres, combinando mayúsculas, minúsculas, números y símbolos. Usa un gestor de contraseñas como Bitwarden, 1Password o LastPass para generar y almacenar contraseñas únicas para cada servicio. Nunca reutilices contraseñas entre sitios.

La autenticación de dos factores (2FA) es el complemento imprescindible. Con 2FA activada, aunque un atacante descubra tu contraseña, no podrá acceder sin el código temporal que genera tu teléfono. Plugins como Wordfence Login Security o WP 2FA permiten configurar 2FA con aplicaciones como Google Authenticator o Authy. Activa 2FA para todos los usuarios con rol de editor o superior.

Firewalls y protección activa contra ataques

Un firewall de aplicaciones web (WAF) filtra el tráfico malicioso antes de que llegue a tu sitio. Bloquea inyecciones SQL, cross-site scripting (XSS), inclusión de archivos remotos y otros vectores de ataque comunes. Es como tener un guardia de seguridad que revisa a cada visitante antes de dejarlo entrar.

Existen dos tipos principales de WAF: los basados en plugin (como Wordfence) que se ejecutan en tu servidor, y los basados en cloud (como Cloudflare WAF o Sucuri) que filtran el tráfico antes de que llegue a tu servidor. Los WAF cloud son más efectivos contra ataques DDoS ya que absorben el tráfico malicioso en su infraestructura, sin consumir recursos de tu servidor.

Configura tu WAF para bloquear los ataques más comunes de forma automática. Limita los intentos de login a 3-5 por IP, bloquea el acceso a archivos sensibles como wp-config.php y .htaccess, desactiva la ejecución de PHP en directorios donde no es necesaria (como wp-content/uploads) y bloquea el acceso XML-RPC si no lo utilizas.

Hardening de WordPress: endurecimiento del sistema

El hardening consiste en endurecer la configuración de WordPress para reducir la superficie de ataque. Son ajustes técnicos que cierran vectores de ataque que WordPress deja abiertos por defecto en favor de la facilidad de uso.

Empieza por los ajustes básicos: cambia el prefijo de las tablas de la base de datos (por defecto "wp_"), desactiva la edición de archivos desde el admin (añade define("DISALLOW_FILE_EDIT", true) en wp-config.php), oculta la versión de WordPress que usas, desactiva el listado de directorios y bloquea el acceso a archivos readme.html y license.txt que revelan información.

A nivel de servidor, configura los permisos de archivos correctamente: los directorios deben tener permisos 755 y los archivos 644. El archivo wp-config.php debería tener permisos 400 o 440. Asegúrate de que tu hosting ejecuta PHP como el usuario propietario de los archivos (no como www-data genérico), lo que previene ataques de escalada de privilegios entre sitios en hosting compartido.

  • Cambiar el prefijo de tablas de la base de datos (no usar "wp_")
  • Desactivar la edición de archivos desde el panel de admin
  • Bloquear la ejecución de PHP en wp-content/uploads
  • Desactivar XML-RPC si no usas la API de WordPress
  • Configurar permisos de archivos: 755 directorios, 644 archivos
  • Ocultar la versión de WordPress del código fuente
  • Proteger wp-config.php con permisos restrictivos (400/440)
  • Cambiar la URL de login por defecto (/wp-admin, /wp-login.php)

Escaneo de malware y monitorización de integridad

Incluso con todas las medidas preventivas, es necesario verificar regularmente que tu sitio no ha sido comprometido. Los escaneos de malware y la monitorización de integridad de archivos son tus ojos dentro del sistema, detectando cambios no autorizados y código malicioso.

Los escáneres de malware para WordPress comparan tus archivos contra el repositorio oficial para detectar modificaciones. Wordfence y Sucuri SiteCheck son las opciones más populares. Programa escaneos automáticos diarios y configura alertas para que recibas una notificación inmediata si se detecta algo sospechoso.

La monitorización de integridad de archivos va un paso más allá: te avisa cada vez que un archivo del core, tema o plugin se modifica. Esto te permite detectar inyecciones de código malicioso incluso si el malware es demasiado nuevo para estar en las bases de datos de firmas. Si un archivo del core de WordPress cambia sin que hayas actualizado, algo va mal.

Protocolo de respuesta ante incidentes de seguridad

A pesar de todas las medidas preventivas, debes tener un plan preparado para cuando algo falle. Un protocolo de respuesta a incidentes bien definido reduce drásticamente el tiempo de recuperación y minimiza el daño.

Los pasos inmediatos ante un hackeo son: aislar el sitio (activar modo mantenimiento), cambiar todas las contraseñas (WordPress, hosting, FTP, base de datos, email), notificar al hosting del incidente, realizar un escaneo completo de malware, identificar el vector de ataque y restaurar desde un backup limpio si la limpieza manual no es viable.

Después de la restauración, implementa las medidas para prevenir que el mismo ataque se repita: actualiza todo lo que estaba desactualizado, cierra la vulnerabilidad que fue explotada, refuerza la autenticación, instala un WAF si no lo tenías y programa escaneos más frecuentes. Documenta el incidente completo para aprender de la experiencia y mejorar tus protocolos.

  • Activar modo mantenimiento para aislar el sitio inmediatamente
  • Cambiar TODAS las contraseñas: admin, hosting, FTP, base de datos
  • Escanear y eliminar todo el malware identificado
  • Restaurar desde un backup limpio si la limpieza no es viable
  • Identificar y cerrar el vector de ataque original
  • Solicitar revisión en Google Search Console si fuiste blacklisteado
  • Documentar el incidente y actualizar los protocolos de prevención

Puntos clave

  • El 95% de los hackeos en WordPress se debe a plugins desactualizados, contraseñas débiles o hosting inseguro.
  • Las actualizaciones de seguridad deben aplicarse en las primeras 24-48 horas tras su publicación.
  • La autenticación 2FA es imprescindible para todos los usuarios con acceso de edición.
  • Un WAF (Wordfence o Cloudflare) es tu primera línea de defensa contra ataques automatizados.
  • El hardening de WordPress cierra vulnerabilidades que están abiertas por defecto.
  • Ten siempre un protocolo de respuesta ante incidentes preparado y documentado.

¿Tu web está realmente protegida?

Realizamos una auditoría de seguridad completa de tu sitio web y implementamos todas las medidas de protección necesarias. Firewall, 2FA, hardening, escaneos diarios y monitorización continua incluidos en nuestro servicio de mantenimiento seguro.

Solicitar presupuesto
Contratar mantenimiento