Cómo proteger el CMS de WordPress

Octubre 2017


¿Cómo hacer más seguro el CMS de WordPress?


Debido a su facilidad de uso y a su variedad de opciones, el CMS (Sistema de gestión de contenidos, en español) de WordPress es propenso a ciertos problemas de seguridad. Aunque la mayoría de los problemas de seguridad han sido resueltos, WordPress es todavía vulnerable a robots web malévolos y hackers. ¿Cómo prevenir estas fallas de seguridad y adoptar las mejores prácticas?

¿Cómo asegurar tu CMS WordPress?

Protege el acceso al panel de control de WordPress


Una vez que el CMS está activo, se puede acceder a él mediante el usuario admin. Este nombre de usuario debe ser cambiado por seguridad.
  • Crea un nuevo nombre de usuario de administrador y elimina el nombre de usuario admin:
    • Escritorio > Usuarios > Invitar usuarios:

  • Usa el nuevo nombre de usuario de administrador para conectarte al panel de control de WordPress. En este punto, todas las publicaciones hechas usando el identificador admin podrán ser atribuidas a otro autor
  • También tienes que escoger una contraseña segura (una combinación de números, letras, símbolos y letras mayúsculas). Usa contraseñas únicas para cada una de tus cuentas de administrador

Define los derechos de los usuarios

  • El CMS de WordPress te permite definir el papel de cada usuario (colaborador, autor, editor, administrador, seguidor):

  • Limita la función de administrador al mínimo para evitar una mala administración o una mala instalación de extensiones y temas inseguros
  • También es posible desactivar la instalación de extensiones o temas
  • Accede al archivo wp-config.php localizado en el directorio raíz del FTP
  • Añade la siguiente línea: 'DISALLOW_FILE_EDIT', true

Desactiva el acceso al panel de control desde un sitio web


Algunos temas ofrecen acceder al panel de control directamente desde el sitio web, así cada usuario certificado (en cierta medida) puede acceder al contenido del CMS. Pero lo mejor es desactivar esta opción para evitar tentativas de intrusión.

Renombra el acceso al panel de control


Por defecto, se puede acceder al panel de control desde esta dirección: www.mywebsite.com/wp-login.php o wp-admin.
  • Los hackers pueden usar esta dirección para corromper la base de datos de tu sitio web
  • Es posible personalizar esta URL mediante la base de datos MySQL o usar la extensión Rename WP-login para editarla

Adoptar las mejores prácticas

Realiza copias de seguridad de tu sitio web


Puedes reconstruir fácilmente tu sitio web desde una copia de seguridad en caso de un ataque o una tentativa de piratería informática.

Estas copias de seguridad pueden ser automatizadas usando extensiones de WordPress:
  • BackWPup te permite realizar una copia de seguridad automática en una carpeta o ubicación especifica, en un ordenador o un servicio de almacenamiento en la nube (Dropbox)
  • BackUp Wordpress también permite el guardado automático de archivos (incluyendo los archivos de bases de datos y la instalación de Wordpress)


Nota: es posible hacer una copia de seguridad manual copiando los archivos desde el directorio FTP.

Mantén Wordpress actualizado

  • Instala actualizaciones cuando estén disponibles para evitar vulnerabilidades. Esto aplica para la versión del CMS de WordPress y las extensiones que tengas instaladas

Comprueba si las extensiones son seguras

  • Antes de la instalación de una nueva extensión, comprueba su rating y sus comentarios. Algunas extensiones pueden contener caballos de Troya, creando una puerta trasera en tu sitio web que puede ser explotada por los hackers

Elimina temas y extensiones no usados


Es necesario eliminar temas y extensiones que ya no uses en el CMS, ya que pueden contener defectos o vulnerabilidades.
  • Ve a Escritorio > Apariencia > Temas:

  • Selecciona un tema no usado y elimínalo

Nuevos seguidores


La mayoría de los ciberataques inician con un simple registro en el sitio web. Para comprobar a los usuarios certificados, ve a Escritorio > Usuarios > Todos los Usuarios:

  • Define el papel de cada usuario. Un seguidor que no tiene ningún derecho puede dar pie a ataques informáticos
  • Elimina a cualquier seguidor no identificado
  • Comprueba que los suscriptores no hayan publicado artículos que contengan palabras clave y enlaces que puedan afectar el posicionamiento de tu sitio web

Revisa los comentarios

  • Los comentarios deben ser revisados con regularidad (spam, enlaces a sitios web malévolos, etc.)
  • El plugin akismet puede gestionar automáticamente la publicación de comentarios
Publicado por Carlos-vialfa. Última actualización: 17 de junio de 2014 a las 16:12 por ibero.modo.
El documento «Cómo proteger el CMS de WordPress» se encuentra disponible bajo una licencia Creative Commons. Puedes copiarlo o modificarlo libremente. No olvides citar a CCM (es.ccm.net) como tu fuente de información.