¿Tu web en WordPress está segura? ¿De verdad?

En CLINK nos encontramos cada semana con webs comprometidas por errores que parecen pequeños descuidos, pero que abren puertas enormes a cualquier bot o atacante. Y lo peor es que la mayoría podrían evitarse sin instalar 200 plugins de seguridad.

Si quieres blindar tu web sin caer en soluciones mágicas que solo parchean por encima, aquí te contamos los errores que más vemos en clientes que llegan tras un susto.

1. Usar el hosting equivocado: el primer error silencioso

No todo es WordPress. Muchas webs ya están en desventaja desde que se instalan en un servidor compartido, lento, sin aislamiento, ni soporte especializado.

Lo que deberías exigir a tu hosting:

  • Aislamiento entre cuentas.
  • PHP actualizado siempre.
  • Copias externas automáticas.
  • Soporte técnico que hable tu idioma (y el de WordPress).

2. Usuarios con roles mal asignados (o peor, compartidos)

Que tu diseñador freelance tenga permisos de administrador indefinidamente o que toda la oficina use el mismo usuario es una bomba de relojería.

Buenas prácticas:

  • Un usuario por persona.
  • Roles mínimos necesarios (editor, colaborador, etc.).
  • 2FA activado para cualquier admin.
  • Contraseñas únicas, no el clásico TuEmpresa123.

3. Dejar actualizaciones para “cuando tenga tiempo”

Sabemos que hay miedo a que algo se rompa tras una actualización. Pero dejar plugins desactualizados es como cerrar la puerta de casa pero dejar la ventana abierta.

Qué hacer sin miedo:

  • Usa entorno de staging para probar.
  • Actualiza WordPress, plugins y temas al menos una vez por semana.
  • Elimina lo que no uses (no vale con desactivarlo).

4. No tener copias de seguridad útiles (spoiler: no vale con confiar en tu hosting)

Muchos creen que su hosting guarda copias… hasta que descubren que no son recuperables o están corruptas.

Lo mínimo recomendable:

  • Copias diarias automáticas.
  • Guardar en ubicación externa (Drive, S3, FTP, etc.).
  • Que incluyan base de datos y archivos.
  • Probar restauraciones de vez en cuando.

5. No limitar accesos a zonas sensibles del sitio

Páginas como /wp-login.php, /xmlrpc.php o la REST API están a la vista de cualquiera si no se controlan bien.

Cómo protegerlas sin paranoia:

  • Limita IPs para acceder a wp-admin.
  • Protege xmlrpc.php o desactívalo si no lo usas.
  • Activa un WAF (firewall web) serio, ya sea a nivel servidor o DNS.

6. No saber qué hacer si todo falla

Muchas empresas no tienen plan de acción si su web cae o es hackeada. Cada minuto perdido multiplica el daño.

Ten esto claro:

  • ¿Dónde están tus copias?
  • ¿A quién llamas primero?
  • ¿Sabes restaurar tú mismo o dependes de alguien?
  • ¿Tienes documentado qué plugins tenías activos?

La seguridad real es estratégica, no reactiva

Blindar un WordPress no se trata de instalar más plugins o cruzar los dedos. Se trata de tomar decisiones técnicas conscientes desde el principio: elegir bien el hosting, definir accesos, mantener el entorno sano y estar preparado si algo va mal.

En CLINK llevamos años manteniendo y recuperando webs WordPress. Si no sabes por dónde empezar o te suena todo esto a chino, puedes delegarlo.