1. Ataques de fuerza bruta
El atacante prueba miles de combinaciones de usuario y contraseña hasta acertar. Es de los más comunes por lo automatizado que está.
Cómo prevenirlo: contraseñas fuertes y únicas, límite de intentos de acceso, autenticación de dos factores (2FA) y nunca usar "admin" como nombre de usuario.
2. Inyección SQL
Se aprovecha de campos mal protegidos (formularios, buscadores) para inyectar comandos y acceder o manipular tu base de datos.
Cómo prevenirlo: mantener WordPress y plugins actualizados, usar plugins de fuentes confiables y tener un firewall de aplicación (WAF) que filtre las peticiones maliciosas.
3. Cross-Site Scripting (XSS)
El atacante inserta scripts maliciosos que se ejecutan en el navegador de tus visitantes, pudiendo robar sesiones o datos.
Cómo prevenirlo: actualizaciones al día, validación de entradas y un WAF que bloquee inyecciones de código.
4. Ataques de denegación de servicio (DDoS)
Saturan tu servidor con tráfico falso hasta tumbar el sitio, dejándolo inaccesible para clientes reales.
Cómo prevenirlo: usar una CDN con protección DDoS, un buen hosting y firewall a nivel de red.
5. Phishing y malware
El phishing engaña para robar credenciales; el malware infecta archivos para redirigir tráfico, robar datos o usar tu sitio en otros ataques.
Cómo prevenirlo: educación del equipo, escaneo constante de malware, certificados SSL/TLS y monitoreo de integridad de archivos.
La mayoría de estos ataques son automáticos y masivos. No te eligen a ti: te encuentran desprotegido.