Inicio/ Blog/ WordPress seguro
Desarrollo

WordPress seguro:
8 configuraciones
obligatorias

10 mayo 2026 · 6 min de lectura Desarrollo

WordPress alimenta el 43% de todos los sitios web del mundo. Eso lo convierte en el objetivo favorito de los atacantes automatizados. La buena noticia es que la mayoría de los ataques exitosos se aprovechan de configuraciones por defecto que se pueden corregir en menos de una hora. Aquí tienes las 8 más importantes.

Dato importante: El 90% de los WordPress comprometidos lo son por plugins desactualizados o contraseñas débiles, no por vulnerabilidades en el núcleo de WordPress. La configuración que estás a punto de leer mitiga exactamente eso.

01

Cambia el prefijo de las tablas de la base de datos

Por defecto, WordPress usa el prefijo wp_ para todas sus tablas. Cualquier intento automatizado de SQL Injection lo sabe y lo prueba directamente. Cambiar este prefijo durante la instalación (o con un plugin como Brozzme DB Prefix) elimina un vector de ataque trivial.

Cómo hacerlo: Durante la instalación, cambia "wp_" por algo como "nx7k_" o cualquier combinación aleatoria. Si ya tienes la web instalada, usa el plugin Brozzme DB Prefix & Tools Add-on.
02

Elimina el usuario "admin" por defecto

El nombre de usuario "admin" es el primero que prueban los ataques de fuerza bruta. Si lo mantienes, el atacante ya tiene la mitad del trabajo hecho — solo le falta la contraseña.

Cómo hacerlo: Crea un nuevo usuario administrador con un nombre no obvio, transfiere el contenido al nuevo usuario, y elimina el usuario "admin" original.
03

Usa contraseñas fuertes y únicas

Una contraseña como "empresa2026" puede romperse en segundos con ataques de diccionario. WordPress genera contraseñas seguras automáticamente — úsalas, o usa un gestor de contraseñas como Bitwarden.

Cómo hacerlo: Mínimo 16 caracteres, con mayúsculas, números y símbolos. Nunca reutilices contraseñas entre servicios. Activa 2FA para todos los administradores.
04

Activa la autenticación en dos pasos (2FA)

Aunque alguien consiga tu contraseña, el 2FA impide el acceso sin el segundo factor (tu móvil). Es la medida de mayor impacto por menor esfuerzo en cualquier WordPress.

Cómo hacerlo: Plugins recomendados: WP 2FA o Google Authenticator. Oblígalo para todos los usuarios con rol de editor o superior.
05

Limita los intentos de login fallidos

Por defecto, WordPress permite intentos de login ilimitados. Un ataque de fuerza bruta puede probar miles de contraseñas por hora. Limitar los intentos lo hace inviable.

Cómo hacerlo: Plugin recomendado: Limit Login Attempts Reloaded. Configúralo para bloquear IPs tras 5 intentos fallidos durante 20 minutos.
06

Mantén WordPress, temas y plugins actualizados

El 60% de las vulnerabilidades conocidas en WordPress tienen parche disponible — el problema es que nadie lo instala. Cada actualización pendiente es una vulnerabilidad con exploit público.

Cómo hacerlo: Activa las actualizaciones automáticas para el núcleo de WordPress (al menos las de seguridad). Revisa manualmente plugins y temas al menos una vez al mes.
07

Desactiva la edición de archivos desde el panel

El editor de archivos de WordPress (Apariencia → Editor de temas) permite modificar PHP directamente desde el navegador. Si alguien compromete una cuenta admin, puede inyectar código malicioso sin tocar el servidor.

Cómo hacerlo: Añade esta línea a tu wp-config.php: define('DISALLOW_FILE_EDIT', true);
08

Configura backups automáticos diarios externos

Un backup no vale de nada si está en el mismo servidor que la web comprometida. Los backups deben ser automáticos, diarios y almacenados en un servicio externo (Google Drive, Dropbox, S3).

Cómo hacerlo: Plugin recomendado: UpdraftPlus. Configura backup diario de base de datos y semanal de archivos, con destino externo. Verifica que la restauración funciona antes de necesitarla.

¿Y si ya tengo la web publicada?

No es tarde. Puedes aplicar la mayoría de estos cambios en una web ya publicada sin afectar al funcionamiento. El orden recomendado si partes de cero:

  1. Actualiza WordPress, plugins y temas a sus últimas versiones.
  2. Cambia contraseñas de todos los usuarios administradores.
  3. Activa 2FA para administradores.
  4. Instala y configura Limit Login Attempts Reloaded.
  5. Añade DISALLOW_FILE_EDIT al wp-config.php.
  6. Configura backups automáticos externos con UpdraftPlus.
  7. Verifica tus headers de seguridad HTTP.
  8. Si tienes dudas sobre vulnerabilidades existentes, contrata una auditoría.

¿Quieres que revisemos tu WordPress?

Auditamos tu instalación con herramientas específicas para WordPress: WPScan, análisis de plugins, configuraciones expuestas y pruebas manuales.

Ver auditoría web →
¿Tienes un WordPress?

Lo auditamos con WPScan y pruebas manuales

Plugins vulnerables, usuarios expuestos, configuraciones inseguras. Todo en un informe con pasos de corrección.

Solicitar auditoría Ver mantenimiento web
Kodia Asistente
En línea
¡Hola! 👋 Soy el asistente de Kodia. ¿En qué puedo ayudarte?