1. Mantén WordPress actualizado
Cada actualización del núcleo de WordPress suele incluir parches de seguridad que cierran vulnerabilidades ya descubiertas. Un sitio desactualizado es un blanco fácil: los bots buscan exactamente esas versiones antiguas. Actualiza apenas esté disponible.
2. Actualiza temas y plugins
El núcleo de WordPress es bastante seguro; el problema casi siempre entra por un plugin o tema desactualizado. Elimina los que no uses y mantén al día los que sí. Un plugin abandonado por su desarrollador es un riesgo permanente.
3. Usa contraseñas fuertes y únicas
Las contraseñas débiles son la puerta de entrada más común. Usa contraseñas largas, únicas para cada cuenta, y un gestor de contraseñas para no tener que recordarlas. Nunca uses "admin" como nombre de usuario.
4. Limita los intentos de acceso
Los ataques de fuerza bruta prueban miles de combinaciones hasta acertar. Limitar el número de intentos fallidos —y bloquear temporalmente la IP tras varios errores— corta ese ataque de raíz.
5. Instala un plugin de seguridad
Un buen plugin de seguridad te da firewall de aplicación (WAF), escaneo de malware y protección contra fuerza bruta en un solo lugar. Es una capa de defensa que trabaja mientras tú no estás mirando.
6. Activa la autenticación de dos factores (2FA)
Con 2FA, aunque alguien consiga tu contraseña, no puede entrar sin el segundo código (tu teléfono). Es una de las medidas más efectivas y de las más fáciles de activar.
7. Protege el directorio de administración
El /wp-admin es el objetivo número uno. Puedes restringir el acceso por IP, mover la página de login o protegerla con una capa extra de contraseña a nivel de servidor.
8. Haz copias de seguridad periódicas
Un respaldo no evita el hackeo, pero es tu red de seguridad: si todo falla, puedes restaurar el sitio en minutos. Guarda las copias fuera del servidor y prueba que realmente se pueden restaurar.
La copia de seguridad que nunca probaste restaurar no es una copia de seguridad: es una ilusión.
9. Monitorea la actividad del sitio
Un registro de actividad te permite detectar comportamiento sospechoso a tiempo: inicios de sesión raros, cambios de archivos, usuarios nuevos que no creaste. Detectar temprano es la diferencia entre un susto y un desastre.
10. Edúcate tú y tu equipo
La mayoría de los ataques exitosos empiezan por un error humano: una contraseña reutilizada, un clic en un correo de phishing. La concienciación es una de las defensas más baratas y efectivas que existen.
La seguridad no es un evento único, es un proceso continuo. Implementa estas medidas hoy y revisa tu configuración cada cierto tiempo. Y si ya es tarde —si tu sitio ya fue comprometido— no pierdas horas intentando arreglarlo solo: escríbenos y lo recuperamos hoy.