Es posible que, una vez tengas tu diseño web WordPress ya publicado, te hayas encontrado con problemas de seguridad o simplemente te estés preguntando cómo mejorar la seguridad de tu web.

WordPress es seguramente el gestor de contenidos (CMS) más usado del mundo y, precisamente por este mismo motivo, lo convierte en una plataforma vulnerable a ataques de hackers. Su popularidad atrae a los expertos en ciberataques, exponiéndolo y vulnerando el sistema con fines lucrativos o, simplemente, para difundir publicidad o spam.

En este artículo voy a explicar cómo gestionar la seguridad de nuestra web en WordPress, cómo podemos saber si nuestro sitio está infectado y qué hay que tener en cuenta para tener una web protegida.

Consejos de seguridad para WordPress


Podríamos hacer una larga lista de consejos para mantener nuestro WordPress seguro, no obstante los más importantes e imprescindibles son estos 3:

  • Tener instalada la última versión de WordPress en nuestra web.
  • No usar themes (temas) y plugins desfasados o piratas. Lo barato sale caro siempre. Además, lo más normal es que tu web acabe petando por incompatibilidades de versiones entre plugins y WordPress.
  • Hacer copias de seguridad con regularidad. Mi recomendación es hacer 2 copias de seguridad al mes, pero eso ya dependerá de la complejidad de la web y la frecuencia de publicación de contenidos nuevos.

Si quieres saber más sobre cómo hacer una copia de seguridad, cómo automatizar el proceso y qué plugin es uno de los más recomendados, te recomiendo leer este artículo: Copias de seguridad WordPress. ¿Qué son? ¿Cómo hacerlas?

Evidentemente, por mucho que llevemos al pie de la letra estos 3 principios de seguridad de WordPress, siempre habrán agujeros de seguridad en nuestra web. Así que para estar al día de este tipo de vulnerabilidades podemos nutrirnos de fuentes confiables como pueden ser:

  • WPScan Vulnerability Database: Portal web de Automattic (desarrolladores de WordPress) donde publican las últimas vulnerabilidades en el software de WordPress, plugins y themes.
  • WPVulnerabilities: Cuenta de Twitter que publica las vulnerabilidades más críticas de WordPress y plugins.

WordPress no es un sistema seguro 100%


Por mucho que nos duela, es así. WordPress no es seguro al 100% y lo digo con la boca pequeña y jamás lo diré delante de un informático… ya que a muchos les encanta recrearse con este tema.

Pero no es solo cosa de WordPress, sino que cualquier gestor de contenidos (CMS) tiene agujeros de seguridad. Para agregar seguridad a WordPress existen plugins y sistemas que permiten hacer un servicio de mantenimiento web óptimo con:

  • Copias de seguridad automáticas.
  • Antivirus y cortafuegos para evitar la entrada de elementos perjudiciales.
  • Detectar intentos forzados de acceso al panel de control.

¿Cómo puedo saber si mi WordPress está infectado?


En algún momento de la vida de nuestro WordPress podemos sufrir algún tipo de ciberataque. Los síntomas más habituales que nos confirman que hemos sido víctimas de ataques hackers son:

  • Contenido no publicado por nosotros mismos. Puede ser publicidad, enlaces fraudulentos , código extraño que se muestra en la web, etc.
  • La web va lenta y suele mostrar errores. Si nos han inyectado código malicioso (virus) nuestra web cargará más lenta y perjudicará la experiencia del usuario.
  • El tráfico web disminuye. Como consecuencia del anterior punto, podemos notar que el tráfico web baje de golpe. Ya sea porque el usuario ha tenido una mala experiencia en nuestro sitio o porque directamente nuestras visitas hayan sido redirigidas a otro portal web. Por este motivo es importante analizar frecuentemente nuestro tráfico web a través de Google Analytics y así estar a tiempo de detectar estos comportamientos extraños.

¿Cuáles son los ataques más comunes en nuestro WordPress?


Según el portal web de WordFence Security, otro plugin para mejorar la seguridad de WordPress, el 55-60% de los ataques que se producen en webs WordPress son causados por los plugins que tenemos instalados.

Cómo los hackers atacan webs WordPress

Cómo los hackers atacan webs WordPress

Por eso es tan importante tener siempre actualizados los plugins de nuestra web y, evidentemente no instalar nunca plugins piratas o de mala reputación.

Los ataques por fuerza bruta, es decir, ir probando contraseñas hasta acceder al panel de control, es el siguiente motivo por el cual podemos ser hackeados. Así pues, es importante no usar las típicas contraseñas fáciles como por ejemplo “1234” o el mismo nombre de la web, por ejemplo, en mi caso “persuadiendo”.

Plugin Sucuri Security: Seguridad para tu WordPress y Análisis de Malware


Para saber si nuestra web WordPress está infectada por algún malware podemos utilizar varios plugins, uno de los mejores para realizar resta tarea es Sucuri Security.

Sucuri Security, plugin para seguridad WordPress y Análisis de Malware

Sucuri Security, plugin para seguridad WordPress y Análisis de Malware

Sucuri Security es un plugin de seguridad con versión gratuita y de pago. Este plugin cuenta con una serie de herramientas de seguridad que permite la detección de software malicioso y, a la vez, también refuerza nuestro WordPress.

Panel de gestión del plugin Sucuri Security

Panel de gestión del plugin Sucuri Security

En su versión gratuita contamos con:

  • Explorador: escáner de malware a diario con recomendaciones de seguridad.
  • Refuerzo: opciones para mejorar la seguridad de nuestro WordPress.
  • Después del ataque (Post-Hack): podemos cambiar las contraseñas de autentificación de WordPress o de los usuarios. También podemos reinstalar plugins en el caso de que creamos que alguno ha sido infectado.
  • Últimos logins: desde esta opción podemos revisar las últimas conexiones a nuestro WordPress, incluso los accesos fallidos (ataques de fuerza bruta o brute force).

En el caso de que optemos por la versión Premium de Sicur Security (existen 3 planes de pago), podemos beneficiarnos de funcionalidades extra como:

  • Protección activa.
  • Análisis de Malware más frecuente: escaneos y prioridad de respuesta.
  • Sucuri Firewall (WAF): firewall del sitio web.
  • Soporte certificado SSL.
  • Soporte técnico.

Además, si hay algún tipo de infección en nuestro WordPress, el plugin se encarga de la limpieza, desinfección y, en el caso de pertenecer a alguna lista negra, también nos dará de baja.

Y hasta aquí mi experiencia y consejos para mejorar la seguridad de nuestra web en WordPress. Si has tenido algún problema de seguridad o ataque hacker en tu web me encantaría poder leerte en comentarios y así aprender todos.

David Pinazo
David Pinazo

Consultor de Marketing Digital y Diseñador Web freelance, especializado en WordPress y Posicionamiento SEO & SEM. En 2014 inauguré mi primer blog y desde entonces disfruto dirigiendo, desarrollando y colaborando en proyectos web.