Si tenés un sitio en WordPress, el checklist de seguridad para sitios WordPress no es algo que puedas dejar para después. WordPress es la plataforma más usada del mundo —y eso también lo convierte en el blanco favorito de hackers, bots y scripts maliciosos. La buena noticia: con algunos ajustes básicos podés reducir drásticamente las chances de que tu sitio sea comprometido.
En este artículo te presentamos 10 puntos concretos que podés revisar hoy mismo. No necesitás ser desarrollador ni tener conocimientos técnicos avanzados. Solo seguir la lista.
¿Por qué WordPress es un blanco frecuente de ataques?
WordPress mueve más del 40% de todos los sitios web del mundo. Eso significa que un script automatizado que prueba vulnerabilidades conocidas puede atacar millones de sitios al mismo tiempo sin distinguir si es una pyme, un blog personal o una tienda online.
La mayoría de los ataques no son dirigidos: son oportunistas. Buscan contraseñas débiles, versiones desactualizadas de plugins o configuraciones por defecto que nadie cambió. Si tu sitio tiene esas puertas abiertas, tarde o temprano alguien va a entrar.
Checklist de seguridad para sitios WordPress: los 10 puntos
1. Actualizá WordPress, plugins y temas siempre
El 50% de los hackeos en WordPress ocurren por plugins o temas desactualizados. Cada actualización no solo agrega funciones: también cierra agujeros de seguridad. Activá las actualizaciones automáticas para parches de seguridad o revisalas al menos una vez por semana.
2. Usá contraseñas fuertes y únicas
La contraseña de tu admin de WordPress tiene que ser diferente a la de tu hosting, tu dominio y tu email. Una sola filtración puede comprometer todo si usás la misma en todos lados. Usá un gestor de contraseñas como Bitwarden o 1Password y generá passwords de al menos 16 caracteres con letras, números y símbolos.
3. Cambiá el usuario «admin»
Si el usuario administrador de tu WordPress todavía se llama «admin», estás regalando la mitad de las credenciales de acceso. Creá un nuevo usuario con nombre distinto, asignale el rol de administrador, y eliminá el usuario «admin» original.
4. Activá la autenticación en dos pasos (2FA)
Incluso con una contraseña robusta, el 2FA agrega una capa extra que hace muy difícil el acceso no autorizado. Plugins como WP 2FA o Google Authenticator se configuran en minutos y bloquean la gran mayoría de los intentos de fuerza bruta.
5. Limitá los intentos de inicio de sesión
Por defecto, WordPress permite intentos de login ilimitados. Eso facilita los ataques de fuerza bruta, donde un bot prueba miles de combinaciones de contraseñas. Instalá un plugin como Wordfence para bloquear una IP después de varios intentos fallidos.
6. Instalá un certificado SSL
Si tu sitio todavía muestra «http://» en lugar de «https://», la información viaja sin cifrar entre el servidor y el navegador del usuario. Un SSL es hoy una medida básica e indispensable para cualquier sitio web.
7. Eliminá los plugins y temas que no usás
Un plugin desactivado pero instalado sigue siendo una superficie de ataque. Si no lo usás, borralo. Lo mismo aplica para temas. Menos código = menos vulnerabilidades posibles. Si querés saber cuáles plugins están afectando tu sitio, podés revisar cuáles ralentizan más tu WordPress y de paso hacer limpieza.
8. Configurá permisos correctos en archivos y carpetas
Los permisos incorrectos en archivos pueden permitir que scripts externos modifiquen tu sitio. La regla general: carpetas en 755 y archivos en 644. El archivo wp-config.php, que contiene las credenciales de la base de datos, debería tener permisos 600 o 440. Podés verificarlo desde el administrador de archivos de tu hosting.
9. Hacé copias de seguridad regulares
Un backup no previene un ataque, pero es lo que te permite recuperarte sin perder todo. Configurá backups automáticos que se guarden en un lugar externo al servidor. Si no sabés por dónde empezar, esta guía completa sobre cómo hacer y restaurar backups de WordPress te explica el proceso paso a paso.
10. Instalá un plugin de seguridad
Plugins como Wordfence, Solid Security o Sucuri te ofrecen un firewall de aplicaciones, escaneo de malware y alertas en tiempo real. No reemplazan las medidas anteriores, pero actúan como una capa adicional de monitoreo que muchas veces detecta problemas antes de que escalen.
¿Con qué frecuencia deberías revisar este checklist?
Idealmente, una vez por mes. Pero si acabás de lanzar tu sitio o hace tiempo que no lo revisás, hoy es el mejor momento para empezar. Algunos puntos —como las contraseñas fuertes o el SSL— son configuración de una sola vez. Otros —como las actualizaciones o los backups— requieren atención constante.
Un sitio hackeado no solo es un problema técnico: puede significar pérdida de datos de clientes, penalizaciones en Google, caída del sitio por días o semanas, y un daño serio a tu reputación. El costo de prevenir es siempre menor que el de recuperar.
La seguridad de tu sitio empieza hoy
El checklist de seguridad para sitios WordPress que te presentamos no requiere conocimientos avanzados ni mucho tiempo. Son medidas concretas que, aplicadas en conjunto, cierran la mayoría de las puertas que los atacantes buscan explotar.
Si querés un hosting que ya incluya protección activa, backups automáticos y soporte técnico cuando más lo necesitás, en MinderHost lo tenemos resuelto. Contacános y te ayudamos a elegir el plan que mejor se adapta a tu sitio.