Si llegaste a esta publicación, probablemente ya comprendas la importancia de un sitio web para la estrategia digital de una empresa, comenzando por la elección de una plataforma adecuada para administrarla.

WordPress es una de las plataformas de publicación de contenido más utilizadas. Pero, ¿cómo te aseguras de que tu sitio esté bien protegido? ¿Cómo tener una buena seguridad en WordPress?




Los ataques a sitios web son cada vez más comunes y pueden resultar letales cuando dañan el tuyo o el de tu empresa, ya que éste es el principal canal online para generar nuevos negocios. Por esta razón, en este artículo te doy 17 consejos que debes conocer para que tu sitio de WordPress sea completamente seguro:

¡17 formas de proteger tu sitio web con WordPress!



1. Crea copias de seguridad frecuentes

Piensa en el siguiente ejemplo: tienes un sitio web corporativo con mucho contenido , que va desde páginas que describen tus productos o servicios hasta una lista de clientes que te han comprado,  y además, tienes artículos creados en tu blog. ¿Y si, de repente, todo desaparece? ¿Qué harías?

Sí, esto es posible, por razones como un problema con tu servidor o incluso una invasión en tu sitio por malware o por un competidor (si, eso también es posible). No creas que no te va a pasar.

Por ejemplo, ¿sabías que los competidores de Microsoft solían buscar información sobredicha empresa en la basura que ellos botaban? Por lo tanto, asegúrate de hacer una copia de seguridad de tu sitio periódicamente para que toda tu información esté segura.

2. Inicia sesión con tu correo electrónico


Al crear un sitio de WordPress, puedes optar por iniciar sesión con un nombre de usuario o correo electrónico. Para una mayor seguridad de WordPress, tee recomemiendo que elijas el correo electrónico y tle explicaco por qué.

Los nombres de usuario son fáciles de predecir, lo que facilita que alguien los descubra, especialmente si es tu nombre de pila.

Los correos electrónicos son más difíciles, incluso si son para uso corporativo, ya que solo los miembros de tu empresa y las personas con las que estableces contacto lo sabrán . Entonces, si tienes otro correo electrónico que pocas personas conocen, es más apropiado usarlo.

3. Cambia la URL de inicio de sesión de tu sitio web.

Todos los sitios de WordPress tienen, de forma predeterminada, la URL http: //tusitio.com/wp-admin. Cuando los hackers intentan ingresar a tu sitio, intentan iniciar sesión en esa página a la fuerza, utilizando un GWDb (abreviatura de Guess Work Database).


Es decir, una base de datos que contiene varias combinaciones de nombres de usuario y contraseñas. Cuando uno de ellos coincide, el atacante puede ingresar a tu sitio web.

Es por eso que debes cambiar la URL de inicio de sesión y eliminar las posibilidades de que eso suceda. Para hacerlo, puedes usar el All In One WP Security & Firewall  , que te permite cambiar / wp-admin / a cualquier otra cadena de texto de tu elección. Es un plugin gratuito y muy bueno.

4. Protege aún más el archivo wp-config.php

El archivo wp-config.php contiene información sobre la instalación de WordPress, siendo el elemento más importante de tu sitio. Por tanto, debe ser el más protegido frente a ataques virtuales.

Trabajar para protegerlo aún más para que el archivo sea inaccesible para los atacantes es bastante simple. Solo necesitas mover el archivo wp-config.php a un nivel superior dentro de tu directorio raíz .

La arquitectura de WordPress permite que el servidor acceda al archivo, incluso si se encuentra en otra parte del sistema. Los invasores no lo verán, pero WordPress lo hará.

5. Aumenta la seguridad del directorio wp-admin

Hablando de wp-admin, debemos recordar que es el directorio principal de tu sitio de WordPress, por lo que puede corromperse por completo si se viola esa parte. Para esto puedes elegir la autenticación de dos factores , de la que hablaremos a continuación.

6. Utiliza la autenticación de dos factores

La seguridad de WordPress no debe restringirse al sitio web, sino también al sistema que utiliza para iniciar sesión; debe estar protegido de la misma manera. Una forma de hacerlo es mediante la autenticación de dos factores.

Esta autenticación trae la necesidad de un doble inicio de sesión en tu sitio web para garantizar una mayor seguridad. Por lo tanto, evita que intrusos ingresen al sistema y tengan acceso a tus datos .

Para hacer esto, puedes usar el plugin Google Authenticator – WordPress Two Factor Authentication (2FA , MFA)



7. Tener un certificado SSL

Un certificado SSL es esencial para que tu sitio web de WordPress sea seguro al garantizar la protección de tus visitantes, especialmente si necesitan ingresar información personal y de tarjetas de crédito. También aumenta las posibilidades de indexación de tu sitio web, ya que los sitios seguros forman parte de los criterios de clasificación de Google .

Para obtener un certificado, debe comunicarse con tu servidor de hosting ; muchos lo ofrecen de forma gratuita. Después de activarlo, debes aplicarlo en WordPress utilizando el complemento Really Simple SSL.

8. Mantén los Temas y Plugins actualizados

Uno de los primeros pasos que debes tomar al crear un sitio de WordPress es elegir un Tema que se aplicará. También llamadas plantillas, existen varios tipos que puedes seleccionar para que el sitio web se vea como tu empresa.

Además del diseño, los temas también traen características que satisfacen tus necesidades. Sin embargo, para que funcionen bien, debes instalar actualizaciones siempre que se publiquen . De lo contrario, la plantilla puede perder algunas de sus funciones y no funcionar correctamente.

Lo mismo se aplica a los Plugins que agregan funciones específicas al sitio, como un formulario de contacto, botones de redes sociales, la creación de banners de generación de leads, etc. Cada vez que tienen actualizaciones, debes instalarlas para que no haya problemas.

9. Ten cuidado al elegir temas



Esto es muy importante para la seguridad de WordPress. Para tener un sitio web profesional centrado en resultados, te recomiendo que utilices un tema premium. Por mucho que WordPress tenga una variedad de plantillas gratuitas, generalmente están dirigidas a blogs o sitios web personales.

Sin embargo, te dejo una advertencia: compra el Tema, no cometas el error de descargarla vía piratería. Además de ser ilegal, pone en riesgo tu sitio, ya que el archivo puede venir con algún tipo de virus o malware y dañar tu sitio.

Además, al comprar el tema de esta manera, tampoco tienes derecho al equipo de soporte premium, en caso de que tengas algún problema o necesites ayuda para adaptar la plantilla a las necesidades de tu sitio web.

10. Utiliza contraseñas seguras en la plataforma

Al configurar tu contraseña para acceder al panel de WordPress, el propio CMS señala si es débil, medio o fuerte. Por mucho que las más débiles sean más fáciles de recordar, opta siempre por contraseñas seguras que no sean muy obvias.

Después de todo, ciertos accesos deben restringirse internamente dentro de la empresa. Además, debes protegerse de las intrusiones que pueden ocurrir debido al uso de contraseñas débiles.

WordPress mismo genera contraseñas automáticas como sugerencia. Pero si quieres crear el tuyo propio intenta usar letras mayúsculas y minúsculas, así como números y algún carácter especial .

11. Elimina archivos innecesarios

¿Sabes cuál es el tiempo más largo que la gente suele esperar para que se cargue un sitio web? Tres segundos. Por lo tanto, si tu sitio tarda más en mostrar su contenido completo, ten en cuenta que muchas personas pueden optar por abandonarlo antes de realizar cualquier tipo de conversión .


Uno de los factores que ralentiza los sitios web es la cantidad excesiva de archivos que contienen: imágenes, documentos, videos, entre otros. Por supuesto, algunos sitios necesitan estos archivos para brindar una mejor experiencia a sus visitantes. Pero para aquellos que no son necesarios, te recomienda que los excluyas para optimizar la velocidad del sitio web.

12. Evita el spam

A decir verdad: a nadie le gusta el spam. Se ve comúnmente en los mensajes de correo electrónico, aunque también se puede ver en las redes sociales. Pero debes preguntarte: ¿cómo se puede aplicar en sitios web?

La forma más común es en respuesta a tus formularios de contacto y a través de comentarios de blogs. Por esta razón, se recomienda tener herramientas de comentarios dedicadas, como Disqus .

Sin embargo, las técnicas de spam son más avanzadas hoy en día, ya que invaden tu sitio e inyectan códigos que solo se muestran a los bots de Google, lo que dificulta tu indexación en las  SERP . Esto refuerza la necesidad de un sitio web seguro para que este tipo de amenaza no ocurra.

13. Impedir el registro de nuevos usuarios

Un sitio de WordPress puede tener varias personas involucradas en él, de acuerdo con sus funciones. Pero es necesario que se elijan cuidadosamente. Consulta los roles de WordPress a continuación:

  • Super Admin: tiene acceso a todas las funciones del sitio;
  • Administrador: tiene acceso a casi todas las funciones;
  • Editor: puede publicar contenido tanto en las páginas como en el blog;
  • Autor: también puede crear contenido pero solo administrar sus propias publicaciones;
  • Colaborador: puede producir contenido pero no puede publicarlo;
  • Suscriptor: puede administrar solo su propio perfil.

Por lo tanto, otorgae acceso a personas que se adapten a cada función. Después de todo, WordPress gestiona los datos digitales principales de tu empresa, por lo que el perfil de administrador debería estar restringido a unas pocas personas .

14. Asigna los permisos adecuados para archivos y carpetas

Además de los usuarios, también es importante que las carpetas y los archivos tengan permisos restringidos para preservar la seguridad de WordPress. Imagínate lo dañino que sería si alguien con acceso a ellos, incluso si por accidente, eliminara un archivo esencial y dañara el rendimiento de la página.

Por lo tanto, asegúrate de que los archivos esenciales para el sitio web de tu empresa, como wp-config.php, debug.log, entre otros, también estén restringidos solo a las personas involucradas en la administración del sitio web.

15.Asegúrate de que el archivo de depuración esté bien protegido



El archivo de depuración recopila la información más confidencial sobre tu sitio web. Por lo tanto, debe mantenerse lo más oculto posible para que los atacantes no lo vean.

Si tú o un desarrollador que trabaja para tu empresa necesita usar el archivo de depuración en algún momento, asegúrate de que debug.log tenga una configuración de permisos segura.

16. Cambiael prefijo de la tabla de la base de datos.

La base de datos se utiliza para almacenar y organizar información sobre tu sitio web. El prefijo de tu tabla está representado por wp-table. Al igual que con wp-admin, te recomiendos que lo cambie a un nombre diferente.

Después de todo, el uso del prefijo predeterminado hace que la base de datos sea vulnerable a los ataques . Si no estás seguro de cómo realizar este cambio dentro del sitio, existen Plugins que realizan esta función.

WP-DBManager es uno de ellos, como All In One WP Security & Firewall, que mencioné anteriormente. Antes de realizar esta o cualquier modificación a tu base de datos, te recomiendo que hagas una copia de seguridad de tu sitio.

17. Conecta el servidor correctamente

Al configurar tu sitio web con el servidor, es mejor usar SFTP o SSH. Aunque se prefiere FTP, especialmente por los desarrolladores, los dos mencionados tienen más características de seguridad.


Por lo tanto, puedes transferir archivos al host de una manera más segura. En realidad, existen servidores de alojamiento que ofrecen estos servicios, por lo que no es necesario ejecutarlos manualmente.

Si sigue estos 17 consejos de seguridad de WordPress, podrás proteger el sitio web de tu empresa. De esa forma tendrás la tranquilidad de que tu negocio en Marketing Digital tenga éxito .

Espero que este artículo te sirva y si tienes dudas o necesitas más asesoría, me puedes contactar a través de mi página de contacto.

Hasta la próxima!