Otros artículos:

Buenas prácticas de seguridad en WordPress

WordPress es uno de los CMS más utilizados del mundo, y justamente por eso también es uno de los objetivos más frecuentes de ataques automatizados. La buena noticia es que, aplicando una serie de buenas prácticas, se puede reducir enormemente el riesgo de intrusiones, malware y pérdida de información.

En este artículo vamos a recorrer medidas de seguridad desde las más básicas hasta algunas más avanzadas, pensadas tanto para sitios pequeños como para proyectos profesionales.

1. Usar contraseñas fuertes (y únicas)

Puede parecer obvio, pero sigue siendo uno de los principales problemas de seguridad.

Buenas prácticas:

  • Usar contraseñas largas (mínimo 12 caracteres).
  • Combinar mayúsculas, minúsculas, números y símbolos.
  • No reutilizar contraseñas en otros servicios.
  • Evitar usuarios como admin, test, wordpress.

👉 Recomendado: utilizar un gestor de contraseñas (Bitwarden, 1Password, KeePass, etc.).

Además, puedes generar una contraseña segura directamente desde el panel de Plesk, dirigiéndote a:

WordPress > tudominio.com > Configuración (debajo de la imagen del sitio)

Allí, haz clic en Generar, a un lado del campo de contraseña.

2. Limitar los intentos de login

Los ataques de fuerza bruta son muy comunes en WordPress. Limitar los intentos de inicio de sesión ayuda a bloquear bots automáticamente.

Opciones:

👉 Nuestro servicio de hosting ya incluye Fail2Ban configurado para la prevención de ataques de fuerza bruta y DDoS, agregando una capa extra de protección sin necesidad de configuraciones adicionales.

3. Mantener WordPress, temas y plugins siempre actualizados

Las versiones antiguas suelen tener vulnerabilidades conocidas.

Recomendaciones:

  • Eliminar plugins y temas que no se usen.
  • Evitar plugins “nulled” o descargados de fuentes no oficiales.

Puedes chequear actualizaciones disponibles desde Plesk, dirigiéndote a:

WordPress > Actualizaciones > Comprobar actualizaciones.

4. Usar plugins y temas confiables

Cada plugin agrega código que puede convertirse en un nuevo vector de ataque.

Buenas prácticas:

  • Descargar solo desde el repositorio oficial o desarrolladores reconocidos.
  • Revisar fecha de última actualización.
  • Ver calificaciones y cantidad de instalaciones activas.

5. Proteger el acceso al panel de administración

Además del login estándar, se pueden sumar capas extra de seguridad:

  • Autenticación en dos factores (2FA).
  • Restringir el acceso a /wp-admin por IP (si es viable).
  • Usar HTTPS obligatorio en todo el sitio.

6. Cambiar o proteger la URL de acceso (opcional)

Cambiar la URL de login no es una solución de seguridad por sí sola, pero reduce el ruido de ataques automatizados.

Ejemplo:

  • /wp-login.php/mi-login-secreto

Esto se puede hacer con plugins de seguridad como por ejemplo WPS Hide Login

7. Bloquear o limitar XML-RPC

XML-RPC es una funcionalidad de WordPress que permite conexiones remotas (por ejemplo, apps móviles o Jetpack), pero también es muy usada para ataques de fuerza bruta y DDoS.

👉 Si no sabés si lo usás, en la mayoría de los sitios se puede desactivar sin problemas.

Además, puedes aplicar esta y otras políticas de seguridad recomendadas directamente desde el panel de Plesk, dirigiéndote a:

WordPress > Seguridad > > Detalles

Selecciona la medida de seguridad a aplicar y haz clic en Proteger.

8. Configurar correctamente permisos de archivos

Permisos incorrectos pueden permitir la modificación de archivos críticos.

Valores recomendados:

  • Directorios: 755
  • Archivos: 644
  • wp-config.php: 600 o 640

Además:

  • Evitar permisos 777.
  • El usuario del web server no debería ser propietario de todos los archivos si el hosting lo permite.

9. Proteger archivos sensibles

Algunos archivos no deberían ser accesibles públicamente:

  • wp-config.php
  • .env
  • .htaccess
  • Backups

Se pueden proteger con reglas del servidor web o moviéndolos fuera del directorio público.

10. Realizar backups periódicos (y probarlos)

La seguridad no es solo prevención, también es recuperación.

Buenas prácticas:

  • Backups automáticos diarios.
  • Guardarlos fuera del servidor.
  • Probar restauraciones periódicamente.

Nevex AR Hosting realiza backups diarios en la nube, y estan disponibles para que puedas recuperar tu información.

11. Monitorear actividad y cambios

Detectar un problema a tiempo puede evitar daños mayores.

  • Logs de accesos.
  • Notificaciones de cambios en archivos.
  • Alertas de intentos de login sospechosos.

Si no ha sido de ayuda:

Abrir ticket >

Soporte >

Ir al panel de administración >

Ir al panel de administración >

Shared Hosting

Reservá tu espacio en internet y sumate al mundo digital

Lo más usado

WordPress Hosting

Todo lo que necesitas para tu sitio WordPress

Mail Hosting

Profesionalismo para tu empresa con mails corporativos

Registrar nuevo dominio

Registrá el nombre de tu marca.
.com | .net | .org | .club y más!

Transferir un dominio

Transferí tu dominio desde otro Host

¿Cómo registrar un dominio .com.ar o .ar?

Los dominios .com.ar o .ar se registran desde >>Nic.ar<<

Una véz tengas tu dominio registrado, podés contratar nuestro servicio de Hosting, seleccionando la opción " Usaré mi propio dominio y modificaré los nombres del servidor"

Ánte cualquier duda, escribinos a hola@nevex.ar

Precios

Todos los planes de hosting

Diseño Web

Cotizamos tu sitio web

Contacto