Seguridad WordPress: plugins y configuraciones esenciales

📅 Publicado el 15 de marzo, 2026 · Por Equipo RedServicio

Introducción: por qué endurecer WordPress

WordPress es la plataforma más usada para sitios web, y por eso es también un objetivo frecuente para atacantes. La buena noticia es que con unas medidas básicas —plugins adecuados, configuraciones en wp-config.php y reglas en .htaccess— puedes reducir drásticamente el riesgo. En esta guía encontrarás pasos prácticos, ejemplos de código y recomendaciones para webmasters y desarrolladores.

Plugins esenciales (y cómo configurarlos)

No existe un único plugin que lo cubra todo; combina herramientas especializadas:

• Wordfence: firewall y escaneo de malware. Activa el Firewall en modo «extended» y programa escaneos diarios. Ajusta las reglas de Rate Limiting para proteger contra fuerza bruta.
• Sucuri: WAF (Web Application Firewall) y limpieza de malware. Útil si prefieres un WAF externo y soporte de respuesta ante incidentes.
• UpdraftPlus: copias de seguridad automáticas. Programa backups diarios y guarda ficheros en un destino remoto (Google Drive, S3, Dropbox).
• WP 2FA o Two-Factor: añade autenticación en dos pasos para administradores y editores.
• Limit Login Attempts Reloaded o Loginizer: limita intentos de acceso y bloquea IPs.
• iThemes Security o All In One WP Security: ajustes de endurecimiento (cambiar URL de login, forzar contraseñas fuertes, escaneo básico).

Consejo de configuración

Para cada plugin: realiza pruebas en un entorno staging antes de aplicar en producción, evita solapamientos entre firewalls (p. ej. Wordfence + WAF externo mal configurado) y mantén reglas personalizadas documentadas.

Configuraciones críticas en WordPress

Estos cambios en archivos y permisos aportan una capa básica y efectiva de protección.

wp-config.php

• Desactivar edición de archivos: evita que un atacante con acceso a Admin edite plugins/temas:

  define('DISALLOW_FILE_EDIT', true);

• Llaves únicas (salts): usa el generador oficial:

  // Reemplaza estas líneas con las generadas en:
  https://api.wordpress.org/secret-key/1.1/salt/
  define('AUTH_KEY',  '...');

• Permisos: mueve wp-config.php fuera del directorio público si es posible; en el servidor deja permiso 600.

Permisos de archivos y usuario de la base de datos

• Directorios: 755. Archivos: 644. wp-config.php: 600 o 640.
• Usuario DB: crea un usuario exclusivo para la base y dale acceso sólo a la base de datos necesaria. Evita permisos globales.

Reglas .htaccess útiles

Si usas Apache, añade estas reglas al .htaccess en la raíz del sitio (y prueba en staging):

# Proteger wp-config.php



  order allow,deny

  deny from all


# Bloquear xmlrpc.php (si no lo necesitas)



  order allow,deny

  deny from all


# Evitar listado de directorios

Options -Indexes
# Cabeceras de seguridad (requiere mod_headers)



  Header set X-Content-Type-Options nosniff

  Header set X-Frame-Options SAMEORIGIN

  Header set X-XSS-Protection 1


Proteger la conexión de tu web con certificados SSL
Usar un entorno staging para probar plugins y cambios
Migrar tu WordPress sin downtime y sin riesgos



        

            
📝
            

                
Equipo RedServicio
                
Artículos escritos y revisados por nuestro equipo técnico especializado en hosting e infraestructura web en España.
            
        
        

            
¿Listo para un hosting de verdad?
            
Servidores en España · Soporte 24/7 en español · Migración gratuita
            Ver Planes desde 3,95€/mes →
        
Te puede interesar:
Soltia Hosting — Hosting, email y dominios
Página Gratis — Crea tu web gratis
Clisec — Seguridad informática