📅 Publicado el 25 de mayo, 2026 · Por Equipo RedServicio
¿Qué es un ataque de fuerza bruta en WordPress?
Un script automatizado que prueba miles de combinaciones de usuario y contraseña por segundo. Eso es un ataque de fuerza bruta. Quiere colarse en tu panel de administración. Si tus credenciales son débiles o no tienes protecciones básicas, los atacantes pueden tomar el control de toda la instalación. Y ojo, esto pasa mucho. WordPress es el CMS más usado del planeta, así que es un blanco constante.
Pero tampoco hay que asustarse. Con unos pocos ajustes y algún plugin concreto, reduces el riesgo drásticamente. Aquí van las medidas que realmente funcionan.
Medidas esenciales para proteger tu WordPress
Ve paso a paso. No hace falta ser ingeniero, solo tener paciencia y seguir estas capas de seguridad.
1. Limitar los intentos de inicio de sesión
Por defecto WordPress te deja intentar login infinitas veces. Eso es una invitación. Instala Limit Login Attempts Reloaded o WPS Limit Login. Yo lo configuro así: bloqueo IP tras 3 intentos fallidos, 15 minutos de espera. Y voy subiendo el tiempo si insisten.
Tip RedServicio: En nuestros planes de hosting con WordPress optimizado ya metemos protección básica contra fuerza bruta a nivel de servidor. Pero una capa extra desde tu panel nunca sobra.
2. Cambiar la URL de inicio de sesión
Todos los bots conocen /wp-admin y /wp-login.php. Si renombras esa ruta, los intentos maliciosos bajan solos. Uso el plugin WPS Hide Login o lo hago manual con código en functions.php del tema hijo. Por ejemplo:
add_action('init', function() { if (strpos($_SERVER['REQUEST_URI'], 'wp-login.php') !== false && !is_user_logged_in()) { wp_redirect(home_url('/tu-nueva-ruta-secreta')); exit; } });
Si ya tienes Wordfence, también trae esta opción. No hace falta duplicar.
3. Implementar autenticación de dos factores (2FA)
Imagina que alguien consigue tu contraseña. Sin el segundo factor, no entra. Plugins como Google Authenticator o Two Factor te piden un código temporal del móvil. Actívalo al menos para los administradores. La mayoría de hostings decentes (como RedServicio) lo soportan sin problemas.
4. Usar contraseñas robustas y evitar el usuario «admin»
«Admin» como nombre de usuario. Por favor, ni se te ocurra. Crea uno único, difícil de adivinar. La contraseña: mínimo 12 caracteres, mayúsculas, números, símbolos. Yo uso LastPass para generarlas. Y revisa que no haya usuarios antiguos con privilegios sueltos.
5. Activar CAPTCHA en el formulario de login
Un reCAPTCHA de Google gratuito en la pantalla de login frena a los bots de forma automática. Prueba Advanced noCaptcha & invisible Captcha o reCaptcha for WordPress. La versión invisible no molesta al usuario.
Medidas avanzadas para máxima protección
Si tu sitio maneja datos sensibles o tiene mucho tráfico, mira estas opciones.
6. Bloquear IPs maliciosas con un firewall
Un firewall de aplicaciones web (WAF) corta el tráfico sospechoso antes de que llegue a WordPress. Usa Wordfence (versión gratuita incluye firewall básico) o contrata un servicio externo. También puedes bloquear rangos de IP conocidos por ataques de fuerza bruta añadiendo reglas en .htaccess.
7. Deshabilitar XML-RPC si no lo usas
XML-RPC es un protocolo viejo para conectar apps externas. Los atacantes lo usan para ataques masivos de fuerza bruta. Si no necesitas la app de WordPress para móvil o Jetpack, apágalo. Con un plugin o añadiendo esto en .htaccess:
# Deshabilitar XML-RPC
RewriteRule ^xmlrpc.php$ - [F,L]
8. Mantener todo actualizado
Las vulnerabilidades conocidas se tapan con cada actualización de WordPress, temas y plugins. Un sitio desactualizado es un blanco fácil. Activa las actualizaciones automáticas para plugins y temas críticos. Y cada cierto tiempo, revisa que no haya plugins abandonados.
Recomendaciones finales para tu sitio
La seguridad no es un estado fijo. Es un proceso que se repite. Haz auditorías mensuales con herramientas como WPScan o los informes de seguridad de tu hosting. Si tu web es parte de un negocio, un hosting robusto con soporte 24/7 marca la diferencia. En RedServicio ofrecemos planes optimizados para WordPress con protecciones proactivas contra ataques de fuerza bruta y asistencia técnica especializada.
Pregunta frecuente: ¿Es suficiente con limitar los intentos de login?
No del todo. Es una capa muy efectiva, pero combinarla con 2FA y un firewall ofrece una defensa mucho más sólida. No te quedes solo con una medida.
Pon estos consejos en práctica hoy. La tranquilidad de tener un WordPress seguro no tiene precio.
Equipo RedServicio
Artículos escritos y revisados por nuestro equipo técnico especializado en hosting e infraestructura web en España.
¿Listo para un hosting de verdad?
Servidores en España · Soporte 24/7 en español · Migración gratuita
Ver Planes desde 3,95€/mes →