Lista de verificación de seguridad de WordPress: Guía paso a paso para proteger tu sitio

El tiempo medio desde que una vulnerabilidad de WordPress se hace pública hasta que los ataques automatizados afectan a sitios en toda la web es ahora de 5 horas. No días. Cinco horas.

Ese no es un riesgo teórico. Solo en 2025, los investigadores descubrieron 11.334 nuevas vulnerabilidades en el ecosistema de WordPress, un salto del 42% respecto al año anterior.

Aproximadamente 13.000 sitios de WordPress son comprometidos cada día. Cuando una pequeña empresa se ve afectada, el coste medio de recuperación es de 14.500 $. Esto incluye la eliminación de malware, tiempo de desarrollador de emergencia y los meses de trabajo que lleva deshacer los enlaces de spam inyectados y las penalizaciones de Google.

He estado gestionando sitios de WordPress durante años y he trabajado en cada paso de esta guía en mis propias instalaciones. Algunos llevan cinco minutos. Unos pocos son más complejos. Todos merecen la pena antes de que algo salga mal.

Esto es lo que te llevarás de esta guía:

• Los plugins son la verdadera amenaza. El 91% de las vulnerabilidades de WordPress están en plugins y temas, no en el núcleo. Mantenerlos actualizados y eliminar los que no usas es tu hábito más importante.
• Un WAF por sí solo no te salvará. Los firewalls de aplicaciones web estándar bloquearon solo el 12% de los ataques específicos de WordPress en 2025. Necesitas capas, no una sola herramienta.
• Las copias de seguridad son tu red de seguridad cuando todo lo demás falla. Una copia de seguridad que puedes restaurar en minutos cambia el coste real de un hackeo.
• La ventana de explotación de 5 horas es real. Una vez que una vulnerabilidad es pública, los ataques automatizados comienzan rápido. El parcheo no puede esperar.
• El 46% de las vulnerabilidades no tienen un parche del desarrollador cuando se divulgan. Las actualizaciones importan, pero la monitorización importa igual.
• La recuperación post-hackeo tiene un orden específico. La mayoría de las listas de verificación se saltan esto. Lo cubrimos paso a paso, incluyendo cómo volver a entrar cuando te han bloqueado el acceso a wp-admin.

Tabla de Contenidos

¿Por qué es importante la seguridad de WordPress?

Un sitio hackeado no es solo un problema técnico. Es un problema de negocio.

Cuando los atacantes comprometen un sitio de WordPress, normalmente inyectan enlaces de spam, redirigen a los visitantes, roban datos de usuarios o instalan puertas traseras para acceso futuro.

Google puede marcar el sitio como peligroso. Tu proveedor de hosting puede desconectarlo. Si tienes una tienda de comercio electrónico, los datos de los clientes podrían estar en riesgo.

En 2025, se registraron más de 11.000 nuevas vulnerabilidades de WordPress. Eso son más de 30 al día.

El coste medio de recuperación para una pequeña empresa es de 14.500 $, y esa cifra no incluye los meses de trabajo necesarios para recuperar las clasificaciones en los motores de búsqueda después de que los enlaces de spam inyectados activen una penalización manual de Google.

La reputación de tu sitio, la confianza de tus visitantes y tu tráfico orgánico están en juego.

Tu lista de verificación de seguridad de WordPress

Como principiante, quizás te estés preguntando: ¿por dónde empiezo?

¡He creado una lista de verificación completa de seguridad de WordPress para ti! Simplemente sigue cada paso y al final tendrás un sitio completamente seguro.

Lista de verificación rápida de seguridad de WordPress:

• Busca un alojamiento web seguro: Elige un alojamiento con protocolos de seguridad sólidos, certificados SSL, firewalls y copias de seguridad periódicas
• Haz una copia de seguridad de tu sitio web: Usa plugins como Duplicator para automatizar copias de seguridad en la nube y proteger tus datos
• Actualiza el software: Mantén actualizados el núcleo de WordPress, los plugins y los temas para parchear vulnerabilidades
• Elimina plugins y temas no utilizados: Borra el software inactivo para eliminar posibles agujeros de seguridad
• Usa contraseñas seguras: Crea contraseñas únicas y complejas con caracteres mixtos y evita frases comunes
• Actualiza el acceso de administrador: Limita los usuarios administradores, elimina las cuentas inactivas y asigna privilegios mínimos
• Oculta la página de inicio de sesión de WordPress: Personaliza la URL de inicio de sesión para evitar ataques de fuerza bruta
• Monitorizar la actividad del usuario: Rastrea las acciones del usuario para identificar brechas de seguridad y cambios no deseados
• Instalar un plugin de seguridad para WordPress: Utiliza herramientas como Sucuri para escanear malware y recibir notificaciones de seguridad
• Utilizar un cortafuegos de aplicaciones web (WAF): Bloquea el tráfico malicioso con cortafuegos a nivel DNS o de aplicación
• Escanear en busca de malware: Comprueba regularmente tu sitio en busca de virus y amenazas con plugins de seguridad
• Pasarse a SSL/HTTPS: Habilita certificados SSL para cifrar datos entre los usuarios y tu servidor
• Cambiar tu nombre de usuario: Evita nombres de usuario predecibles como “admin” para reducir las vulnerabilidades de inicio de sesión
• Actualizar los permisos de archivos: Establece permisos adecuados (755 para carpetas, 644 para archivos) para controlar el acceso
• Desactivar la edición de archivos: Desactiva el editor de archivos de WordPress para evitar que los hackers inyecten código malicioso
• Desactivar la ejecución de archivos PHP: Bloquea la ejecución de archivos PHP en directorios de subida para detener ataques
• Limitar los intentos de inicio de sesión: Restringe el número de intentos de inicio de sesión desde una única dirección IP
• Utilizar autenticación de dos factores: Añade un paso de verificación adicional con códigos móviles para la seguridad del inicio de sesión
• Cambiar el prefijo de la base de datos de WordPress: Reemplaza el prefijo predeterminado “wp_” para que los nombres de las tablas sean más difíciles de adivinar
• Proteger con contraseña las páginas de administración e inicio de sesión: Añade una capa de contraseña adicional antes de que los usuarios lleguen a la pantalla de inicio de sesión
• Desactivar la indexación y navegación de directorios: Oculta el contenido de los directorios para evitar que los archivos sean vistos
• Desactivar XML-RPC: Desactiva esta API para evitar que los hackers exploten vulnerabilidades de adivinación de contraseñas
• Cerrar sesión de usuarios inactivos: Cierra automáticamente la sesión de los usuarios inactivos para evitar el secuestro de sesiones
• Ocultar tu versión de WordPress: Elimina los números de versión del código fuente para evitar ataques dirigidos
• Restaurar tu sitio después de hackeos: Utiliza herramientas de copia de seguridad con recuperación ante desastres (Duplicator Pro) para restaurar rápidamente sitios comprometidos

1. Encuentra un hosting web seguro

Elegir un proveedor de hosting web es más que solo mirar el precio. Lo que necesitas es un proveedor que sea un apasionado de la seguridad.

Busca un proveedor de hosting web que ofrezca lo último en protocolos de seguridad. Sus servidores deben estar mantenidos y actualizados. También es genial si tiene un cortafuegos robusto y ofrece certificados SSL. 

Y, por último, averigua si el proveedor de hosting web ofrece copias de seguridad y restauraciones del sitio regulares. Esperarías no necesitar nunca esta red de seguridad, pero es bueno tener una, por si acaso.

Si actualmente tienes un plan de hosting compartido, es posible que quieras pasarte a un hosting de WordPress gestionado. Con un hosting compartido, compartirás recursos con otros sitios. Si alguien en tu servidor sufre una brecha de seguridad, podría afectar también a tu sitio web.

Pero, los proveedores de hosting compartido de buena reputación como Bluehost, Hostinger y SiteGround te protegerán de muchos problemas básicos de seguridad.

Una vez que encuentres un hosting de WordPress seguro, aquí te explicamos cómo migrar tu sitio al nuevo servidor. 

2. Haz una copia de seguridad de tu sitio web

Cuando empiezas tu sitio web, probablemente estarás emocionado por escribir nuevas entradas de blog o vender productos. Sin embargo, también necesitarás hacer copias de seguridad de tu sitio regularmente.

Las copias de seguridad son una póliza de seguro para tu contenido digital. Te permiten restaurar tu sitio a su estado original si algo sale mal.

Duplicator es un plugin de copias de seguridad que facilita la creación de copias de tu sitio. Admite copias de seguridad automáticas y almacenamiento en la nube, por lo que nunca perderás datos.

A menudo es mejor almacenar las copias de seguridad en un servidor en la nube separado para una capa adicional de seguridad. De esta manera, tus copias de seguridad no se perderán si ocurre un problema con el servidor.

Con Duplicator, puedes hacer una copia de seguridad de tu sitio en la nube. Simplemente conecta tu servicio de almacenamiento en la nube preferido y selecciónalo al crear una copia de seguridad. Incluso tiene su propio almacenamiento en la nube personalizado, diseñado para copias de seguridad de WordPress: Duplicator Cloud.

Podrás personalizar qué datos se guardan en la copia de seguridad. Así, puedes hacer copias de seguridad sin esfuerzo solo de tu base de datos, biblioteca de medios u otros datos si es necesario.

Tu sitio web se actualiza constantemente con nuevo contenido, por lo que necesitarás hacerle copias de seguridad regularmente. Afortunadamente, Duplicator te permite automatizar las copias de seguridad.

¡Al configurar programaciones, nunca tendrás que preocuparte por las copias de seguridad manuales! Tu sitio estará constantemente seguro ante cualquier problema porque puedes simplemente revertir tu sitio cuando ocurran.

Además de Duplicator, hay muchos otros plugins de copias de seguridad que puedes usar. UpdraftPlus, Jetpack y BlogVault son algunas opciones populares. 

3. Actualiza el software

Las actualizaciones de software juegan un papel crucial en la seguridad de WordPress. No solo añaden funcionalidad extra, sino que también parchean cualquier vulnerabilidad potencial. 

WordPress instalará automáticamente las actualizaciones menores. Pero, tendrás que instalar manualmente cualquier versión importante. 

Encuentra la página de Actualizaciones y realiza cualquier actualización de tu software principal, plugins y temas.

Las actualizaciones de seguridad ocurren todo el tiempo, así que tendrás que estar atento a ellas. Para tu comodidad, también puedes automatizarlas. 

Sin embargo, te recomiendo probar las nuevas versiones de WordPress, plugins y temas en un sitio de staging primero. Esto te ayuda a evitar cualquier conflicto de software que a veces ocurre después de actualizaciones fallidas.

4. Elimina plugins y temas no utilizados

Limpiar tu sitio puede darle un buen impulso de seguridad. Es una buena idea desechar cualquier tema y plugin de WordPress que no estés utilizando activamente. 

Esto se debe a que los hackers pueden usar plugins y temas desactualizados para acceder a tu sitio web. Al eliminar el software inactivo, fortalecerás la seguridad de tu WordPress. 

¿Necesitas una regla general? Si no lo has usado en los últimos seis meses, despídete. Es una forma fácil de optimizar tu sitio de WordPress y mejorar su seguridad. 

5. Usa contraseñas seguras

Una buena contraseña debe ser única, impredecible y conocida solo por ti. Recomendamos usar una combinación de letras mayúsculas y minúsculas, números y símbolos. 

Recuerda, ¡‘Password123’ es un error de novato! Es como dejar la llave de tu casa debajo del felpudo, invitando prácticamente a posibles amenazas cibernéticas a hacer una visita.

En los ataques de fuerza bruta, los hackers o bots intentarán adivinar tu contraseña. Probarán opciones populares hasta que consigan entrar. Por lo tanto, cuanto más compleja sea tu contraseña, mejor. 

Aparte de eso, evita usar cualquier información identificable relacionada contigo. No uses tu nombre, fecha de cumpleaños o el nombre de tu mascota (sin importar lo adorable que pueda ser).

Intenta no usar la misma contraseña para todos tus sitios y usuarios. Al igual que no usarías la misma llave para tu casa, coche y oficina, mantén tus llaves digitales variadas para evitar una brecha de seguridad.

Considera usar un gestor de contraseñas como LastPass para almacenar tus contraseñas de forma segura. Puede generar automáticamente opciones seguras y simplificar el proceso de inicio de sesión.

6. Limitar el acceso de administrador

Cuando se trata de la seguridad de WordPress, actualizar tu acceso de administrador es imprescindible. Este paso hace que tu sitio sea menos vulnerable a intrusiones o hackeos no deseados. 

Primero, limita el número de usuarios con el rol de ‘administrador’. Tener varios usuarios administradores puede ser un riesgo de seguridad. Asegúrate de tener solo unos pocos administradores de confianza. 

A continuación, revisa tu lista de usuarios regularmente, eliminando cualquier cuenta que ya no esté en uso. Esto reduce el riesgo de que las cuentas inactivas sean explotadas por hackers. 

Por último, asigna los privilegios mínimos necesarios para un rol de usuario. No todo el mundo necesita acceso de administrador.

Un usuario debe tener suficientes derechos para hacer su trabajo, pero no más. Esto minimiza la posibilidad de daños si esa cuenta es hackeada.

Si no estás seguro de qué usuarios deberían tener cierto acceso, lee esta guía sobre roles y permisos de usuario de WordPress.

7. Oculta la página de inicio de sesión de WordPress

Cada día, usas la página de inicio de sesión para acceder a tu sitio de WordPress. Todos los sitios de WordPress tienen páginas de inicio de sesión que terminan en wp-admin o wp-login. Por lo tanto, los usuarios malintencionados podrían acceder a la tuya y abusar de ella. 

Ocultar tu página de inicio de sesión de WordPress puede proteger tu sitio de intentos de hackeo. Cuando los hackers no pueden encontrar la página de inicio de sesión, no pueden intentar ataques de fuerza bruta para abrir tu panel de administración.

Algunos plugins pueden ayudarte a lograr esto fácilmente, como WPS Hide Login. Puedes personalizar fácilmente tu URL de inicio de sesión para que solo tú sepas dónde está.

8. Monitoriza la actividad del usuario

Cuando tu sitio tiene muchos usuarios, uno podría ser hackeado o compartir credenciales de inicio de sesión con la persona equivocada. Si la cuenta de usuario tiene acceso de administrador, tus temas, plugins o configuraciones podrían ser alterados.

Para identificar la brecha de seguridad, podrías monitorizar la actividad del usuario. Identificarás qué usuario realizó el cambio no deseado y lo eliminarás rápidamente de tu sitio.

El plugin Activity Log te ayuda a hacer un seguimiento de tus usuarios de WordPress. Te proporciona un registro completo de lo que sucedió y cuándo.

Si alguna vez sucede algo, puedes filtrar el registro por gravedad de la actividad, usuario y rango de fechas. Descubrirás cómo reforzar tu seguridad para que tus datos estén más seguros la próxima vez.

Esto puede ser especialmente útil si administras una instalación multisitio de WordPress. Puedes tener una gran cantidad de propietarios de sitios web, autores, editores y otros usuarios diferentes. Es importante saber exactamente qué usuario causó una vulnerabilidad.

9. Instala un plugin de seguridad de WordPress

Los plugins de seguridad hacen exactamente lo que esperas: añaden seguridad extra a tu sitio. Están diseñados para identificar y abordar vulnerabilidades potenciales. Por ejemplo, proporcionan escaneos de seguridad regulares, protección de firewall y filtrado de spam. 

Uno de los mejores plugins de seguridad de WordPress es Sucuri Security. Esta herramienta ofrece escaneo de malware remoto, notificaciones de seguridad y soluciones post-hackeo.

Usando Sucuri, puedes fortalecer tu seguridad fácilmente. En la configuración de Hardening, puedes habilitar un firewall, deshabilitar editores de plugins y temas, ocultar tu versión de WordPress y más.

Esta es una forma amigable para principiantes de mejorar la seguridad de tu WordPress. ¡Además, hay una versión gratuita en WordPress.org!

Wordfence es otra opción sólida con un potente cortafuegos y una gran base de datos de vulnerabilidades. Elige una y ejecútala de forma consistente.

10. Usa un Firewall de Aplicaciones Web (WAF)

Un Firewall de Aplicaciones Web (WAF) es una herramienta que supervisa y filtra el tráfico entrante a tu sitio web. Ayuda a proteger tu sitio de WordPress de amenazas como inyección SQL y scripting entre sitios (XSS).

Un firewall puede disuadir muchas amenazas cibernéticas comunes. Actúa como una barrera protectora entre tu sitio y todo el tráfico entrante, bloqueando solicitudes maliciosas.

Aquí están los diferentes tipos de firewalls:

• Firewall a nivel DNS: envía y evalúa el tráfico a través de servidores proxy en la nube.
• Firewall a nivel de aplicación: plugins de firewall que evalúan el tráfico una vez que llega a tu servidor.

Sucuri ofrece la forma más fácil de configurar un firewall en tu sitio web de WordPress. Es una herramienta tan efectiva que ayudó a WPBeginner a bloquear 450.000 ciberataques en solo 3 meses.

Con Sucuri, evitarás malware, ataques DDoS, ataques de fuerza bruta y otras preocupaciones de seguridad. 

11. Escanea en busca de malware

Escanear regularmente tu sitio web en busca de malware es una parte crucial del mantenimiento de la seguridad de tu WordPress. Plugins populares como Wordfence y Sucuri pueden ayudarte con esta tarea. 

Estas herramientas de seguridad están diseñadas específicamente para encontrar y eliminar cualquier amenaza potencial en tu sitio web. Monitorean activamente tu sitio web, alertándote rápidamente sobre cualquier actividad sospechosa y proporcionando soluciones para su eliminación.

Sucuri también tiene un comprobador de malware gratuito. Al ingresar la URL de tu sitio web, descubrirás si hay algún virus.

12. Pasa a SSL/HTTPS

SSL (Secure Sockets Layer) es un protocolo que cifra los datos entre el navegador de un usuario y tu servidor. Dificulta que los ciberatacantes intercepten y roben datos.

Cuando habilitas SSL, la URL de tu sitio utiliza HTTPS (Protocolo Seguro de Transferencia de Hipertexto). Esto se muestra con un icono de candado junto a tu dominio en la ventana del navegador.

Para pasar a HTTPS, necesitarás comprar e instalar un certificado SSL en tu servidor. Muchos proveedores de hosting ofrecen un certificado SSL gratuito a través de Let's Encrypt. Después de eso, asegúrate de que tu sitio de WordPress use HTTPS en su configuración y URLs. 

Si aún no tienes un certificado SSL, ¡aquí te mostramos cómo configurar uno!

13. Cambia tu nombre de usuario

Usar "admin" como nombre de usuario es una práctica común, pero es uno de los errores graves de seguridad de WordPress que querrás evitar. Le da la mitad de tus datos de inicio de sesión a los atacantes.

Para ayudar a asegurar tu sitio web, considera cambiar tu nombre de usuario por uno menos predecible y más único. 

Dirígete a tu panel de WordPress y crea un nuevo usuario con privilegios de administrador. Una vez hecho esto, cierra la sesión y vuelve a iniciarla como el nuevo administrador.

A continuación, elimina el usuario "admin" antiguo. Asegúrate de transferir todo el contenido del usuario eliminado al nuevo. Es así de simple. 

14. Actualiza los permisos de archivo

Los permisos de archivo regulan quién puede leer, escribir y ejecutar tus archivos. Permisos mal configurados podrían ofrecer una puerta abierta a intrusos.

Aquí están los ajustes que recomendamos usar:

• 755 para carpetas y subcarpetas
• 644 para todos los archivos

Ten en cuenta que corregir los permisos de archivos y carpetas puede ser complejo sin experiencia técnica. Si no estás seguro, siempre es mejor consultar con tu proveedor de hosting o un desarrollador cualificado.

15. Deshabilita la edición de archivos

El panel de WordPress permite a los administradores cambiar los archivos PHP de plugins y temas. Puede ser útil pero también peligroso.

Si un hacker accede a tu panel, puede hacer un mal uso del editor de archivos para introducir código malicioso en tus archivos de WordPress. Para evitar esta amenaza de seguridad, deberías desactivar la edición de archivos ajustando tu archivo wp-config.php.

Aunque esto suena técnico, en realidad es un proceso sencillo. Accede a tu instalación de WordPress a través de FTP y localiza el archivo wp-config.php. Abre este archivo y añade el siguiente fragmento de código: 

define( 'DISALLOW_FILE_EDIT', true );

Una vez que guardes el archivo, la configuración actualizada comenzará a funcionar de inmediato para proteger contra código malicioso. 

Haz esto solo si estás de acuerdo con modificar los archivos de tu sitio web. Si no estás seguro, pide ayuda experta. 

16. Deshabilita la ejecución de archivos PHP

Desactivar la ejecución de archivos PHP en ciertos directorios de WordPress es un paso clave para proteger tu sitio. Si no se hace, abre una puerta a ataques maliciosos. 

Los hackers pueden aprovechar esta vulnerabilidad desplegando archivos php en tu carpeta de subidas u otros directorios. Estos archivos pueden entonces ejecutar código malicioso, comprometiendo tu sitio web.

Para solucionar este problema, puedes desactivar la ejecución de archivos PHP en cualquier directorio que no la necesite (como /wp-content/uploads/). 

Abre un editor de texto y pega este código:

<Files *.php>

deny from all

</Files>

Nombra el archivo .htaccess y añádelo a la carpeta uploads. 

17. Limita los intentos de inicio de sesión

Como mencioné anteriormente, los bots podrían intentar acceder a tu sitio intentando iniciar sesión una y otra vez.  Para mantener tu sitio seguro, establece un límite en cuántos intentos de inicio de sesión pueden provenir de una única dirección IP.

Al limitar los intentos de inicio de sesión, reducirás las posibilidades de un ataque de fuerza bruta exitoso. Aunque WordPress permite inicios de sesión ilimitados, puedes establecer un límite con un plugin como Limit Login Attempts Reloaded.

Limit Login Attempts Reloaded bloqueará una dirección IP después de un cierto número de intentos de inicio de sesión fallidos. Puedes crear un tiempo de bloqueo personalizado y recibir automáticamente correos electrónicos sobre nuevos bloqueos. 

18. Usa autenticación de dos factores

La autenticación de dos factores (2FA) añade una capa extra de protección a tu sitio de WordPress. Además de tu contraseña, necesitas un código de verificación que normalmente se envía a tu teléfono móvil. 

Este sistema de doble verificación aumenta la seguridad, haciendo que sea difícil para los hackers acceder. Incluso si descifran tu contraseña, todavía necesitan el código de verificación. 

WP 2FA es un plugin que configura rápidamente la autenticación de dos factores en tu sitio de WordPress. Generará códigos de inicio de sesión para aplicaciones de autenticación como Google Authenticator o Authy. Los usuarios introducen un código junto con su contraseña.

Con esta función, los hackers o bots no pueden acceder a tu sitio incluso si obtienen tu contraseña. Hay un paso adicional para los inicios de sesión, al que no se puede acceder fácilmente. 

19. Cambia el prefijo de la base de datos de WordPress

WordPress asigna un prefijo a las tablas de tu base de datos. El prefijo predeterminado es wp_.

Si se deja como predeterminado, los hackers pueden adivinar fácilmente los nombres de tus tablas. Por lo tanto, es una buena práctica cambiarlo.

Sin embargo, esto no es muy fácil para los principiantes. Y, podrías terminar rompiendo tu sitio.

Si estás seguro de que quieres continuar, sigue esta guía sobre cómo cambiar correctamente el prefijo de la base de datos de WordPress. 

20. Protege con contraseña las páginas de administración e inicio de sesión

Otra forma de proteger tus páginas de inicio de sesión de WordPress es añadir protección con contraseña a tu directorio de administrador. Siempre que alguien intente acceder al área de administrador, tendrá que introducir una contraseña antes de ver una página de inicio de sesión.

Para habilitar la protección con contraseña del administrador, puedes usar la privacidad de directorios de cPanel. Esto te permitirá proteger tu directorio de administrador sin usar ningún código.

21. Deshabilita la indexación y navegación de directorios

La navegación por directorios puede ser un punto débil en la seguridad de tu sitio web. Si esta función está habilitada, cualquiera puede ver el contenido de los directorios de tu sitio web. Los hackers podrían aprovechar esto si ven archivos con vulnerabilidades. 

Para resolver este problema, añade una simple línea de código en la parte inferior de tu archivo .htaccess. 

Opciones -Indexes

Esto evita que la gente revise las carpetas de tu sitio y protege los archivos ocultos.

22. Deshabilita XML-RPC

Desde WordPress 3.5, XML-RPC es una API principal de WordPress. Permite a los desarrolladores usar aplicaciones remotas para actualizar WordPress.

XML-RPC te permite usar aplicaciones móviles para publicar entradas de blog. También hace posible conectar tu sitio con servicios de terceros como Zapier. 

Esta función de WordPress permite que otras aplicaciones se comuniquen con tu sitio web. Pero, también crea una brecha de seguridad que los hackers pueden usar. 

Si alguien intenta hackear tu página de inicio de sesión, realiza intentos de inicio de sesión separados. Con XML-RPC, los hackers podrían usar una función system.multicall para adivinar miles de opciones de contraseña en solo unas 20-50 solicitudes.

Por lo tanto, desactivar XML-RPC puede ayudarte a evitar posibles amenazas cibernéticas.

23. Cierra la sesión de usuarios inactivos

Los inicios de sesión desatendidos pueden convertirse en una puerta de entrada para el acceso no autorizado. Su sesión podría ser secuestrada. Es por eso que el sitio web de tu banco te cierra la sesión después de un cierto período de tiempo.

Es mejor que tu sitio de WordPress cierre la sesión automáticamente a los usuarios cuando estén inactivos. Esto puede reducir en gran medida las posibilidades de cualquier problema.

Puedes usar plugins como Inactive Logout para automatizar este proceso. Con este plugin gratuito, establecerás periodos de tiempo de inactividad.

También te permitirá personalizar los mensajes de cierre de sesión. Harás saber a los usuarios cuándo se les está cerrando la sesión debido a la inactividad. 

24. Oculta tu versión de WordPress

Por defecto, tu código fuente mostrará la versión de WordPress de tu sitio.

Exponer tu última versión de WordPress puede parecer inofensivo, pero podría dejar tu sitio en riesgo. Los hackers utilizan esta información para explotar vulnerabilidades de seguridad conocidas en versiones específicas. 

Hay muchas maneras de ocultar tu versión de WordPress, pero te recomendamos usar WPCode. Este plugin de fragmentos de código tiene un fragmento predefinido para eliminar tu número de versión de WordPress.

Todo lo que tendrás que hacer es buscar el fragmento y usarlo. 

¡Luego, activa el nuevo fragmento!

25. Restaura tu sitio después de hackeos

Incluso si haces todo bien, un hacker podría entrar en tu sitio web y causar daños. En caso de que esto suceda, necesitarás estar preparado. 

Restaurar tu sitio de WordPress después de un hackeo puede parecer desalentador. Pero, es fácil con las herramientas adecuadas.

Duplicator Pro es un plugin de copias de seguridad de WordPress que restaura tu sitio en segundos. Después de un hackeo, encuentra la copia de seguridad más reciente y sin errores y pulsa el botón Restaurar junto a ella.

Algunos hackers pueden bloquearte el acceso a tu panel de administración de WordPress. Para evitar esto, asegúrate de configurar la recuperación ante desastres de antemano.

Crea una copia de seguridad completa de tu sitio. Luego, haz clic en el icono de la casa azul junto a ella.

Una vez que configures la recuperación ante desastres, Duplicator te proporcionará un enlace de recuperación y un archivo lanzador. Cualquiera de estos restaurará tu sitio inmediatamente después de un ciberataque.

Personalmente, prefiero el enlace de recuperación. Simplemente tendrás que abrir una ventana del navegador y pegarlo. Esto abrirá el asistente de recuperación de Duplicator (sin necesidad de tu panel).

Para asegurar tu sitio web, guarda el enlace de recuperación o el archivo lanzador en un lugar seguro. Deberá estar fuera del sitio, por si tu sitio web llegara a caerse. 

Si quieres asegurarte de que has eliminado cualquier puerta trasera y otras vulnerabilidades de seguridad, lee este tutorial sobre cómo arreglar un sitio de WordPress hackeado. 

Preguntas frecuentes sobre seguridad en WordPress

Tu última línea de defensa: una copia de seguridad que puedes restaurar

Ninguna lista de verificación de seguridad es perfecta. Los plugins sufren vulnerabilidades de día cero. Los proveedores de hosting sufren brechas. Los miembros del equipo son víctimas de phishing. La pregunta no es solo cómo prevenir ataques, sino qué le sucede a tu sitio cuando uno logra penetrar.

Un proceso de copia de seguridad probado es lo que cambia las reglas del juego. Si puedes restaurar tu sitio en pocos minutos desde una copia de seguridad limpia, un hackeo es una interrupción menor. Sin una, es potencialmente un problema de 14.500 $.

Más de 1.5 millones de profesionales de WordPress utilizan Duplicator para copias de seguridad y recuperación ante desastres. Copias de seguridad automáticas en la nube, restauración con un clic desde el almacenamiento en la nube y un enlace de recuperación que funciona incluso cuando wp-admin está completamente bloqueado: es la única herramienta que pondría en esta lista antes que cualquier otra.

Si esta guía te ha hecho reflexionar sobre la resiliencia general de tu sitio, estas publicaciones merecen ser leídas a continuación.

• Cómo limpiar un sitio WordPress
• Cómo proteger su sitio web de hackers
• ¿Es WordPress seguro? Revelando la verdad
• 8+ Mejores Plugins de Seguridad para WordPress
• Lista de verificación de mantenimiento de WordPress: 20 tareas esenciales (2026)