Medidas de seguridad en WordPress: cuándo aplicarlas, para qué sirven y cómo implementarlas

Medidas de seguridad en WordPress: cuándo aplicarlas, para qué sirven y cómo implementarlas

Publicado en mayo 6, 2026 Actualizado el mayo 6, 2026 No hay comentarios

La seguridad en WordPress no depende de una sola herramienta o plugin. En la práctica, proteger un sitio implica combinar configuraciones del servidor, ajustes internos de WordPress y controles para reducir riesgos relacionados con automatización, bots, ejecución de archivos y accesos no autorizados.

Con el paso del tiempo, muchos sitios WordPress evolucionan:

  • incorporan formularios,
  • integran plugins,
  • agregan idiomas,
  • reciben más tráfico,
  • o habilitan nuevas funcionalidades.

Todo esto incrementa la superficie de ataque.

Este artículo recopila una serie de medidas comunes de hardening (fortalecimiento de seguridad), explicando:

  • cuándo conviene aplicarlas,
  • para qué sirven,
  • y cómo implementarlas.

1. Restringir acceso a archivos y directorios

¿Para qué sirve?

Evita que usuarios externos accedan directamente a archivos internos del sistema.

¿Cuándo aplicarlo?

Siempre.

¿Cómo implementarlo?

En Apache:

<FilesMatch "^.*(\.bak|\.config|\.sql|\.fla|\.psd|\.ini|\.log|\.sh)$">
    Order allow,deny
    Deny from all
</FilesMatch>

2. Bloquear navegación de directorios

¿Para qué sirve?

Impide que alguien vea el contenido de carpetas si no existe un index.php.

Riesgo que evita

Exposición de:

¿Cómo implementarlo?

Options -Indexes

3. Bloquear acceso a wp-config.php

¿Para qué sirve?

Protege el archivo más importante de WordPress:

¿Cómo implementarlo?

<files wp-config.php>
order allow,deny
deny from all
</files>

4. Deshabilitar ejecución PHP en cachés

¿Para qué sirve?

Evita que un archivo malicioso subido a una carpeta de caché pueda ejecutarse.

¿Cuándo aplicarlo?

Cuando se usan plugins de caché o CDN.

Ejemplo

<Directory "/wp-content/cache/">
php_admin_flag engine off
</Directory>

5. Cambiar prefijo de tablas de base de datos

¿Para qué sirve?

Reduce ataques automatizados que asumen tablas con prefijo wp_.

¿Cuándo hacerlo?

Preferentemente:

Ejemplo

$table_prefix = 'xxx2026_';

6. Bloquear acceso a archivos sensibles

¿Qué protege?

Ejemplo

<FilesMatch "(\.(bak|config|sql|fla|psd|ini|log|sh|inc|swp|dist)|~)$">
Deny from all
</FilesMatch>

7. Prohibir ejecución PHP en wp-includes

¿Para qué sirve?

Evita ejecución arbitraria en una carpeta crítica del core.

Implementación

RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]

8. Prohibir ejecución PHP en uploads

¿Por qué es importante?

Es una de las medidas más importantes contra:

¿Cuándo aplicarlo?

Siempre que existan uploads públicos.

Implementación

.htaccess dentro de /uploads

<Files *.php>
deny from all
</Files>

9. Desactivar edición de archivos desde WordPress

¿Para qué sirve?

Evita modificar plugins o temas desde el dashboard.

Implementación

define('DISALLOW_FILE_EDIT', true);

10. Activar protección contra bots

¿Qué problema resuelve?

Reduce:

Herramientas comunes

Recomendación

Hoy en día es casi obligatorio.

11. Bloquear acceso a .htaccess.htpasswd

¿Qué evita?

Exposición de reglas internas y credenciales.

Implementación

<Files ~ "^\.ht">
Order allow,deny
Deny from all
</Files>

12. Bloquear escaneo de autores

¿Qué es?

Bots prueban:

?author=1

para descubrir usuarios válidos.

Implementación

RewriteCond %{QUERY_STRING} author=\d
RewriteRule ^ /? [L,R=301]

13. Configurar claves de seguridad

¿Qué protegen?

¿Cómo hacerlo?

Actualizar las claves desde:

WordPress Secret Key ServiceAttachment.tiff

14. Bloquear xmlrpc.php

¿Por qué?

Es uno de los vectores más abusados en WordPress.

Riesgos

Implementación

<Files xmlrpc.php>
Order Allow,Deny
Deny from all
</Files>

15. Desactivar pingbacks

¿Qué evita?

Uso de tu sitio como amplificador DDoS.

Recomendación

Desactivarlo salvo que realmente se use.

16. Cambiar usuario administrador por defecto

¿Por qué?

Bots intentan:

Recomendación

Usar nombres no predecibles.

Más allá de WordPress: el verdadero problema suele ser la infraestructura

Con frecuencia, el problema no es WordPress en sí, sino:

  • límites del servidor,
  • procesos concurrentes,
  • tráfico automatizado,
  • formularios públicos,
  • configuraciones incorrectas de proxy o CDN.

Por ello, la seguridad moderna en WordPress debe entenderse como una combinación de:

  • hardening,
  • monitoreo,
  • optimización,
  • mitigación de bots,
  • y arquitectura de infraestructura.

Conclusión

Aplicar medidas de seguridad en WordPress no significa “blindar” completamente un sitio, sino reducir riesgos, limitar vectores de ataque y optimizar el comportamiento del sistema frente a tráfico automatizado o uso intensivo.

La mejor estrategia siempre será:

  • mantener WordPress actualizado,
  • reducir plugins innecesarios,
  • controlar formularios públicos,
  • y combinar protección de aplicación con protección de servidor.

Porque al final, un sitio WordPress no solo debe funcionar:
también debe resistir.

Comparte lo bueno:

Escribe un comentario

Tu correo electrónico no será publicado.

Este sitio está protegido por reCAPTCHA y se aplican la política de privacidad y los términos de servicio de Google.