Seguridad web: Guía completa para proteger tu sitio

Las amenazas más comunes en 2026

Los ataques automatizados representan la inmensa mayoría de las amenazas. Bots que escanean millones de sitios buscando vulnerabilidades conocidas en WordPress, plugins populares, paneles de administración con contraseñas débiles y archivos de configuración expuestos.

El ransomware web ha crecido exponencialmente: los atacantes cifran los archivos del sitio y la base de datos, exigiendo un rescate en criptomonedas. A diferencia del malware tradicional que busca infectar visitantes, el ransomware ataca directamente al propietario del sitio.

Los ataques a la cadena de suministro también son una preocupación creciente. Un plugin legítimo que se vende a un nuevo propietario malicioso, una librería JavaScript comprometida en npm, o un tema nulled (pirata) con backdoors integrados pueden afectar a miles de sitios simultáneamente.

• Fuerza bruta: bots intentando miles de combinaciones de login
• Inyección SQL: manipulación de consultas a la base de datos
• Cross-Site Scripting (XSS): inyección de código malicioso en páginas
• Ransomware web: cifrado de archivos con petición de rescate
• Phishing: páginas falsas alojadas en tu servidor
• Supply chain attacks: plugins o dependencias comprometidas

Hardening del servidor

El hardening (endurecimiento) del servidor es la primera capa de defensa. Incluye la configuración correcta de permisos de archivos, la restricción de funciones PHP peligrosas y la protección de archivos sensibles.

Los permisos de archivos en WordPress deben ser: directorios en 755, archivos en 644 y wp-config.php en 440 o 400. Permisos más permisivos (777) permiten que cualquier proceso del servidor modifique los archivos, facilitando la inyección de malware.

Deshabilita las funciones PHP que los atacantes utilizan habitualmente: exec(), system(), passthru(), shell_exec() y eval(). Si ninguno de tus plugins las necesita, desactivarlas en php.ini elimina un vector de ataque importante. Asimismo, deshabilita la edición de archivos desde el admin de WordPress con define("DISALLOW_FILE_EDIT", true) en wp-config.php.

Seguridad específica de WordPress

WordPress es el CMS más atacado porque es el más utilizado: más del 40% de la web lo usa. Esto no significa que sea inseguro; significa que es un objetivo prioritario. Las mejores prácticas de seguridad de WordPress van más allá de instalar un plugin.

Cambia el prefijo de tablas de la base de datos de wp_ a uno personalizado durante la instalación. Mueve el archivo wp-config.php un directorio arriba de la raíz web. Desactiva XML-RPC si no lo necesitas (es un vector de ataques de fuerza bruta y DDoS). Protege el directorio wp-admin con autenticación HTTP adicional.

Los plugins y temas nulled (piratas) son la causa número uno de infecciones en WordPress. Nunca instales software de fuentes no verificadas. Los 50 € que ahorras en una licencia pueden costarte miles en limpieza, recuperación de reputación y pérdida de datos.

• Cambiar el prefijo de tablas de la base de datos
• Desactivar XML-RPC si no es necesario
• Proteger wp-admin con autenticación HTTP adicional
• Desactivar la edición de archivos desde el admin
• Limitar intentos de login (Limit Login Attempts Reloaded)
• Ocultar la versión de WordPress del código fuente

Cabeceras de seguridad HTTP

Las cabeceras HTTP de seguridad instruyen al navegador sobre cómo comportarse al cargar tu sitio. Son una capa de defensa potente contra ataques de inyección, clickjacking y exfiltración de datos que muchos sitios no implementan.

Content-Security-Policy (CSP) es la cabecera más importante: define qué recursos puede cargar tu página (scripts, estilos, imágenes, fonts, iframes). Una CSP bien configurada previene la ejecución de scripts inyectados (XSS) al bloquear cualquier script que no esté explícitamente autorizado.

Otras cabeceras esenciales son: X-Frame-Options (previene clickjacking), X-Content-Type-Options (previene MIME sniffing), Strict-Transport-Security (fuerza HTTPS), Referrer-Policy (controla qué información de referencia se envía) y Permissions-Policy (controla acceso a APIs del navegador).

Seguridad y cumplimiento RGPD

El Reglamento General de Protección de Datos (RGPD) exige que implementes medidas técnicas y organizativas adecuadas para proteger los datos personales que procesas. Un sitio web sin seguridad básica incumple el RGPD por definición.

Las medidas técnicas que el RGPD requiere incluyen: cifrado de datos en tránsito (SSL obligatorio), cifrado de datos en reposo (especialmente para datos de pago), control de acceso basado en roles, registro de actividades (logs) y procedimientos de respuesta a brechas de seguridad.

Si sufres una brecha de seguridad que afecte a datos personales, el RGPD te obliga a notificar a la Agencia Española de Protección de Datos en un plazo de 72 horas y, si el riesgo es alto, a los afectados. Las multas por incumplimiento pueden alcanzar los 20 millones de euros o el 4% de la facturación anual global.

Plan de respuesta a incidentes

Tener un plan antes de que ocurra un incidente reduce el tiempo de respuesta de días a horas. El plan debe documentar: quién es responsable de cada paso, cómo se contiene el incidente, cómo se realiza la limpieza y cómo se comunica a los afectados.

El plan de respuesta tiene cuatro fases: preparación (backups, herramientas, contactos), detección y análisis (identificar la amenaza y su alcance), contención y erradicación (aislar y limpiar), y recuperación (restaurar y verificar). Cada fase debe tener pasos concretos y responsables asignados.

Practica el plan al menos una vez al año. Simula un escenario de ataque (restauración de backup, limpieza de malware, notificación a la AEPD) para identificar puntos débiles en el proceso. Un plan que no se ha probado es poco más que un documento decorativo.