Seguridad en WordPress: cómo endurecer el CMS más atacado del mundo

WordPress alimenta el 43% de los sitios web del mundo. Eso lo convierte en el objetivo favorito de escáneres automatizados que buscan versiones desactualizadas, plugins vulnerables y configuraciones por defecto.

¿Por qué atacan WordPress?

No es que WordPress sea inseguro por diseño. El problema es el ecosistema: miles de plugins de terceros, muchos sin mantenimiento activo, y millones de instalaciones sin actualizar. El 97% de las vulnerabilidades en WordPress están en plugins y temas, no en el núcleo.

Medidas básicas de hardening

• Actualiza siempre: WordPress core, plugins y temas. Activa las actualizaciones automáticas para parches de seguridad.
• Cambia el prefijo de las tablas: el prefijo por defecto wp_ facilita ataques SQL injection automatizados.
• Limita los intentos de login: plugins como Limit Login Attempts Reloaded o Wordfence.
• Elimina plugins y temas inactivos: si no los usas, son superficie de ataque sin beneficio.
• Desactiva el editor de archivos: añade define('DISALLOW_FILE_EDIT', true); en wp-config.php.
• Usa HTTPS y HSTS.
• Cambia la URL de admin: /wp-admin es conocida por todos los escáneres.

Plugins de seguridad recomendados

• Wordfence: firewall de aplicación web, escáner de malware, protección de login.
• WP-Cerber: protección avanzada contra fuerza bruta y spam.
• UpdraftPlus: backups automatizados en la nube.

Blindara complementa el hardening de WordPress monitorizando los intentos de acceso al panel de administración, detectando exploits en tiempo real y alertando ante cualquier cambio no autorizado en los ficheros del sistema.