La mayoría de los sitios WordPress pirateados no lo son por culpa de WordPress. Lo son por culpa de un plugin olvidado, de una contraseña débil, o de una actualización aplazada «para más tarde». La buena noticia es que la seguridad de un sitio no es cuestión de genio técnico: es cuestión de disciplina, en el orden correcto. Esta guía explica de dónde viene de verdad el riesgo, las etapas que lo reducen realmente, lo que un simple plugin de seguridad no basta para proteger, y por qué la copia de seguridad sigue siendo su última red de seguridad.

De dónde viene el riesgo, de verdad

WordPress mueve una parte enorme de la web, lo que lo convierte en un blanco preferente. Pero la brecha rara vez está en su núcleo. Según el informe State of WordPress Security 2025 de Patchstack, se registraron 11.334 nuevas vulnerabilidades en el ecosistema WordPress, el 91% provenientes de los plugins y solo un puñado del núcleo de WordPress en sí (verificado el 15 de junio de 2026).

El volumen de ataques deja claro lo que está en juego. Las intrusiones se cuentan por miles cada día, y el plazo entre la revelación de una brecha y su primera explotación se mide en horas, no en días (verificado el 15 de junio de 2026, Patchstack). La consecuencia es nítida: el riesgo no viene tanto de WordPress como de lo que se le añade, y de la velocidad con que se mantiene al día.

Candado cerrado en una puerta de madera, evocando el acceso bloqueado de un sitio WordPress

Las etapas que de verdad cuentan

  • Actualizar, rápido y todo. Núcleo, tema, plugins. Una actualización de seguridad aplazada una semana es una puerta dejada abierta cuando los atacantes golpean en unas horas.
  • Reducir el número de plugins. Cada plugin es una puerta de entrada potencial. Se eliminan los que no se usan, se eligen los que se conservan por su seriedad y su mantenimiento, no por su abundancia de funciones.
  • Credenciales fuertes y doble autenticación. Una contraseña única y larga, la doble autenticación en las cuentas de administrador, y sobre todo nada de una cuenta llamada «admin» con una contraseña adivinada en tres intentos.
  • Proteger la página de acceso. Limitar los intentos de conexión y ocultar la dirección de login corta el grueso de los ataques automatizados, que apuntan todos a la misma puerta por defecto.
  • Cifrar y reforzar las cabeceras. El HTTPS en todas partes, unas cabeceras de seguridad correctas: ajustes discretos que cierran ángulos de ataque comunes.
  • Elegir un alojamiento serio. Un buen proveedor de hosting aplica protecciones a nivel de servidor. Pero sus defensas estándar no lo cubren todo: la seguridad aplicativa sigue siendo su responsabilidad.

Ninguna de estas etapas es espectacular. Puestas una tras otra y sostenidas en el tiempo, eliminan la gran mayoría de los riesgos reales.

Lo que un plugin de seguridad no basta para hacer

Instalar una extensión de seguridad y marcar la casilla «protegido» es una ilusión cómoda. Un plugin ayuda, pero no reemplaza ni las actualizaciones, ni la disciplina de los accesos, ni las copias de seguridad. La seguridad es una cadena: vale lo que vale su eslabón más débil, y ese eslabón es casi siempre humano u organizativo, no de software.

En nuestros estudios: reforzamos un sitio antes de entregarlo, no después del primer incidente. Actualizaciones planificadas, plugins reducidos al mínimo, accesos bloqueados, copias automáticas probadas. La seguridad forma parte del alcance de un sitio serio, no es una opción que se añade cuando algo ya se ha roto.

La copia de seguridad, su última red de seguridad

Incluso un sitio bien protegido puede caer: una brecha desconocida, un error humano, un proveedor de hosting deficiente. Ahí es donde la copia lo cambia todo. Una copia regular, almacenada fuera del servidor del sitio, y sobre todo probada, convierte una catástrofe en un simple incidente. Una copia que nunca se ha intentado restaurar no es una copia, es una esperanza.

La regla útil: automatizar las copias, guardarlas fuera del sitio, y verificar de vez en cuando que una restauración funciona de verdad. El día que se necesita, ya es tarde para descubrir que estaba vacía.

FAQ: asegurar un sitio WordPress

¿WordPress es peligroso? No en sí mismo. Según Patchstack, el 91% de las vulnerabilidades viene de los plugins, no del núcleo (verificado el 15 de junio de 2026). El riesgo viene sobre todo de los plugins descuidados y de los accesos mal protegidos.

¿Cuál es la medida de seguridad más importante? Las actualizaciones, rápidas y sistemáticas. El plazo entre la revelación de una brecha y su explotación se cuenta en horas, así que aplazar una actualización equivale a dejar una puerta abierta.

¿Basta un plugin de seguridad? No. Ayuda, pero no reemplaza ni las actualizaciones, ni la doble autenticación, ni las copias. La seguridad es una cadena, no una casilla que marcar.

¿Con qué frecuencia hacer copias? Lo bastante a menudo para no perder datos críticos, con un almacenamiento fuera del servidor y una prueba de restauración periódica. Una copia nunca probada no protege a nadie.

¿Hace falta un experto para asegurar un sitio WordPress? Nada de genialidad, pero sí método y regularidad. Muchas empresas confían el mantenimiento de seguridad para no depender de una vigilancia interna que se relaja con el tiempo.

Antes de pedir un presupuesto

Asegurar un sitio WordPress no es un acto heroico, es una disciplina sostenida en el tiempo: actualizar, reducir la superficie de ataque, bloquear los accesos, hacer copias fuera del sitio. El resto es seguimiento, no proeza.

Para avanzar, auditamos el estado de seguridad de su sitio, listamos los ángulos de ataque abiertos, y ponemos en marcha una rutina de refuerzo y de copias que usted ya no tiene que vigilar.

[Solicitar un encuadre]