La mayoría de las veces, cuando un sitio con WordPress es comprometido, la culpa no es de WordPress, sino de fallos evitables durante su construcción. Esa es la idea de este proyecto: una lista de acciones que debe tomar para aumentar la seguridad de su sitio.

wp-config

• Cambie las claves de seguridad (Generador de WordPress.org)
• Desactive el editor de archivos con define('DISALLOW_FILE_EDIT', true); en wp-config.php
• Fuerce HTTPS en el panel con define('FORCE_SSL_ADMIN', true);
• En producción, mantenga WP_DEBUG desactivado para no filtrar datos sensibles

Página de ingreso

• Active protección contra fuerza bruta y límite de intentos de acceso
• Habilite autenticación multifactor para administradores (preferiblemente passkeys/WebAuthn)
• Use usuarios únicos (nunca admin) y evite cuentas compartidas
• Retire enlaces para su página de ingreso (si lo hay en su tema)
• Utilice contraseñas fuertes y únicas en todas las cuentas (idealmente generadas por gestor de contraseñas)
• Cambie su contraseña con regularidad
• Cierre sesiones antiguas y rote contraseñas después de incidentes o cambios de equipo
• Deje genérico el mensaje de error de la página de ingreso (usuario/clave) (tutorial)

Panel Administrativo

• Proteja la carpeta wp-admin con contraseña (desbloquear sólo los archivos necesarios)
• Mantenga WordPress actualizado en su última versión
• No utilice una cuenta con nombre de usuario “admin”. Si la hay, cree una nueva cuenta y borre la antigua
• Cree una cuenta de editor y úsela sólo para publicar contenido
• Implemente SSL en toda la sección administrativa
• Revise cuentas de administrador cada trimestre y elimine usuarios inactivos
• Escanee el sitio periódicamente en busca de malware y cambios inesperados de archivos
• Mantenga un plan de respuesta a incidentes (contención, recuperación y rotación de secretos)

Plantilla

• Actualice la plantilla activa a su última versión
• Elimine plantillas inactivas
• Sólo instale plantillas de fuentes confiables
• Prefiera plantillas con mantenimiento activo, changelog y correcciones de seguridad recientes

Plugins

• Actualice todos los plugins para sus últimas versiones
• Elimine plugins inactivos
• Sólo instale plugins de fuentes confiables
• Reemplace plugins desactualizados por versiones alternativas actualizadas
• Piense antes de instalar cientos de plugins
• Audite permisos de plugins y quite los que piden más acceso del necesario

Base de datos

• Use credenciales fuertes y únicas para la base de datos, con privilegios mínimos
• Configure copias de seguridad automáticas y guarde copias fuera del servidor (offsite)
• Pruebe restauraciones de backup de forma periódica
• Cifre los backups en tránsito y en reposo

Alojamiento (hosting)

• Contrate un hosting confiable
• Acceda a su servidor sólo por SFTP o SSH
• Establezca permisos 755 para carpetas y 644 para archivos (Guía de seguridad y fortalecimiento de WordPress)
• Asegúrese de que su archivo wp-config.php no sea accesible por otros
• Retire o bloquee a través del .htaccess los archivos license.txt, wp-config-sample.php y readme.html
• Impida el listado de directorios a través del .htaccess con el código: Options All -Indexes
• Use WAF/CDN con protección contra bots y DDoS cuando sea posible
• Active monitoreo y alertas (uptime, SSL, intentos de login, malware)
• Mantenga XML-RPC desactivado salvo que lo necesite explícitamente
• Evite la enumeración de usuarios en peticiones públicas (por ejemplo ?author= con ID numérico): reglas en el servidor (Apache .htaccess, nginx), un plugin de seguridad o desactive los archivos de autor públicos si no los necesita (Guía de seguridad y fortalecimiento de WordPress).
  Mostrar ejemplo en Apache (.htaccess)

  # Bloquea sondas con author= numérico (301 quita la query)
  RewriteEngine On
  RewriteCond %{QUERY_STRING} ^author=\d [NC]
  RewriteRule ^ %{REQUEST_URI}? [L,R=301]