Inici/ Blog/ WordPress seguro
Desenvolupament

Com evitar que hackejin
el teu WordPress:
8 ajustos crítics

10 maig 2026 · 6 min de lectura Desenvolupament

WordPress alimenta el 43% de tots els llocs web del món. Això el converteix en l'objectiu favorit dels atacants automatitzats. La bona notícia és que la majoria dels atacs reeixits s'aprofiten de configuracions per defecte que es poden corregir en menys d'una hora. Aquí tens les 8 més importants.

Dada important: El 90% dels WordPress compromesos ho són per plugins desactualitzats o contrasenyes febles, no per vulnerabilitats al nucli de WordPress. La configuració que estàs a punt de llegir mitiga exactament això.

01

Canvia el prefix de les taules de la base de dades

Per defecte, WordPress usa el prefix wp_ per a totes les seves taules. Qualsevol intent automatitzat de SQL Injection ho sap i ho prova directament. Canviar aquest prefix durant la instal·lació elimina un vector d'atac trivial.

Com fer-ho: Durant la instal·lació, canvia "wp_" per alguna cosa com "nx7k_" o qualsevol combinació aleatòria. Si ja tens la web instal·lada, usa el plugin Brozzme DB Prefix & Tools Add-on.
02

Elimina l'usuari "admin" per defecte

El nom d'usuari "admin" és el primer que proven els atacs de força bruta. Si el mantens, l'atacant ja té la meitat de la feina feta — només li falta la contrasenya.

Com fer-ho: Crea un nou usuari administrador amb un nom no obvi, transfereix el contingut al nou usuari, i elimina l'usuari "admin" original.
03

Usa contrasenyes fortes i úniques

Una contrasenya com "empresa2026" pot trencar-se en segons amb atacs de diccionari. WordPress genera contrasenyes segures automàticament — usa-les, o usa un gestor de contrasenyes.

Com fer-ho: Mínimo 16 caràcters, amb majúscules, números i símbols. Mai reutilitzis contrasenyes entre serveis. Activa 2FA per a tots els administradors.
04

Activa l'autenticació en dos passos (2FA)

Encara que algú aconsegueixi la teva contrasenya, el 2FA impedeix l'accés sense el segon factor (el teu mòbil). És la mesura de major impacte per menor esforç en qualsevol WordPress.

Com fer-ho: Plugins recomanats: WP 2FA o Google Authenticator. Obliga-ho per a tots els usuaris amb rol d'editor o superior.
05

Limita els intents de login fallits

Per defecte, WordPress permet intents de login il·limitats. Un atac de força bruta pot provar milers de contrasenyes per hora. Limitar els intents ho fa inviable.

Com fer-ho: Plugin recomanat: Limit Login Attempts Reloaded. Configura'l per bloquejar IPs després de 5 intents fallits durant 20 minuts.
06

Mantingues WordPress, temes i plugins actualitzats

El 60% de les vulnerabilitats conegudes en WordPress tenen pedaç disponible — el problema és que ningú l'instal·la. Cada actualització pendent és una vulnerabilitat amb exploit públic.

Com fer-ho: Activa les actualitzacions automàtiques per al nucli de WordPress (almenys les de seguretat). Revisa manualment plugins i temes almenys un cop al mes.
07

Desactiva l'edició d'arxius des del panell

L'editor d'arxius de WordPress permet modificar PHP directament des del navegador. Si algú compromet una compte admin, pot injectar codi maliciós sense tocar el servidor.

Com fer-ho: Afegeix aquesta línia al teu wp-config.php: define('DISALLOW_FILE_EDIT', true);
08

Configura backups automàtics diaris externs

Un backup no val de res si està en el mateix servidor que la web compromesa. Els backups han de ser automàtics, diaris i emmagatzemats en un servei extern.

Com fer-ho: Plugin recomanat: UpdraftPlus. Configura backup diari de base de dades i setmanal d'arxius, amb destí extern. Verifica que la restauració funciona.

I si ja tinc la web publicada?

No és tard. Pots aplicar la majoria d'aquests canvis en una web ja publicada sense afectar el funcionament. L'ordre recomanat si parteixes de zero:

  1. Actualitza WordPress, plugins i temes a les seves últimes versions.
  2. Canvia contrasenyes de tots els usuaris administradors.
  3. Activa 2FA per a administradors.
  4. Instal·la i configura Limit Login Attempts Reloaded.
  5. Afegeix DISALLOW_FILE_EDIT al wp-config.php.
  6. Configura backups automàtics externs amb UpdraftPlus.
  7. Verifica les teves capçaleres de seguretat HTTP.
  8. Si tens dubtes sobre vulnerabilitats existents, contracta una auditoria.

Vols que revisem el teu WordPress?

Auditem la teva instal·lació amb eines específiques per a WordPress: WPScan, anàlisi de plugins, configuracions exposades i proves manuals.

Veure auditoria web →
Tens un WordPress?

L'auditem amb WPScan i proves manuals

Plugins vulnerables, usuaris exposats, configuracions insegures. Tot en un informe amb passos de correcció.

Sol·licitar auditoria Veure manteniment web
Kodia Asistente
En línea
Hola! 👋 Soc l'assistent de Kodia. En què et puc ajudar?