Si llevas una web en WordPress, la seguridad no es algo que puedas dejar para mañana. Cada día se reportan miles de intentos de login automatizados contra wp-admin, y los plugins desactualizados son la primera puerta por la que entra un atacante. Este artículo recoge diez medidas básicas que cualquier admin de WordPress debería tener aplicadas en 2026, actualizadas con los plugins y técnicas que sí funcionan hoy.

1. Olvídate del usuario «admin»

admin sigue siendo el primer nombre que prueban los bots cuando atacan un WordPress. Si tu instalación todavía tiene un usuario llamado admin con permisos de administrador, se lo estás poniendo demasiado fácil. La solución es rápida.

• Crea un usuario nuevo con rol de administrador y un nombre que no se pueda adivinar (nada de admin, root, tucasa o tu nombre).
• Inicia sesión con el nuevo usuario.
• En Usuarios > Todos los usuarios, borra el antiguo admin y reasigna sus entradas y páginas al nuevo administrador.

Hay quien recomienda además cambiar la URL del login con plugins tipo WPS Hide Login. Es seguridad por oscuridad, pero combinada con limit login attempts reduce mucho el ruido de los bots y, sobre todo, te limpia el log de errores.

2. Contraseñas largas y un gestor que las recuerde por ti

Las contraseñas tipo 123456, qwerty, contraseña o tu fecha de nacimiento siguen apareciendo en los listados de las más usadas año tras año. Y siguen siendo las primeras que prueba un atacante.

Lo que recomiendo en 2026:

• 16 caracteres mínimo, mezclando mayúsculas, minúsculas, números y símbolos.
• Una contraseña distinta por servicio. Si una se filtra (cosa que pasa más de lo que crees), no caen las demás.
• Usa un gestor: Bitwarden gratuito y open source, 1Password si quieres una experiencia más pulida o KeePassXC si prefieres tenerlo todo en local.

Generadores online gratuitos como password.es siguen funcionando bien para una contraseña puntual. Para uso diario, gestor.

3. Activa la autenticación en dos factores (2FA)

El 2FA añade una capa extra al login. Además de la contraseña, necesitas un código generado por una app o enviado por email, así que aunque alguien te robe la contraseña no puede entrar.

En 2026 las opciones que tienen mejor mantenimiento son:

• Two-Factor: plugin oficial colaborativo, ligero, sin telemetría rara y compatible con apps tipo Authy, Google Authenticator o Aegis.
• Wordfence Login Security: si ya usas Wordfence para el firewall, te aprovechas del mismo plugin para 2FA y CAPTCHA en el login.
• WP 2FA: muy completo, con soporte de claves de seguridad WebAuthn (FIDO2) y métodos de respaldo cuando pierdes el móvil.

Olvídate de Clef (descontinuado en 2017). Rublon todavía existe pero en versión empresarial; para webs personales o pymes, los tres anteriores cubren de sobra.

4. Limita los intentos de login

Por defecto, WordPress permite intentar el login todas las veces que quieras. Si un atacante usa un script de fuerza bruta probando combinaciones, tarde o temprano puede acertar.

Para frenarlo, dos plugins van perfectamente:

• Limit Login Attempts Reloaded: bloquea automáticamente las IPs después de N intentos fallidos. Tiene listas dinámicas con IPs malintencionadas reportadas por la comunidad.
• Wordfence: incluye limit login attempts, IP blocking y geo-bloqueo si quieres restringir el acceso al backoffice por país.

Si tienes un firewall a nivel de hosting o un WAF como Cloudflare, configura también una rule que limite las peticiones a /wp-login.php a, por ejemplo, 5 cada 60 segundos por IP. Eso tumba la mayoría de ataques antes de que toquen WordPress. Te dejo dos lecturas para profundizar: la guía para configurar el CDN de Cloudflare en WordPress y cómo bloquear los bots de spam con Fail2Ban si usas un servidor propio.

5. Descarga plugins solo del repositorio oficial o autores conocidos

Los plugins son la mayor superficie de ataque de WordPress. El repositorio oficial tiene más de 60.000 plugins revisados, y el Plugin Check Team del Core hace una revisión inicial antes de aceptar uno nuevo.

Mi regla a la hora de instalar un plugin nuevo:

• Repositorio oficial siempre que sea posible.
• Si vas a un marketplace tipo CodeCanyon, comprueba que el autor tiene varios plugins, valoraciones reales y soporte activo en los últimos 6 meses.
• Nada de plugins nulled (versiones premium pirateadas que circulan por foros). El 80% inyectan backdoors, vienen prometiendo el código premium y acaban dando acceso a tu base de datos.

Antes de instalar cualquier plugin nuevo, haz una copia de seguridad completa (archivos y base de datos). UpdraftPlus o Duplicator van bien para esto, y muchos hostings ya incluyen backups automáticos al panel.

6. Mantén WordPress, plugins y temas siempre actualizados

La mayoría de hackeos a WordPress aprovechan vulnerabilidades de plugins ya parcheadas pero no actualizadas en el sitio. Es decir, alguien publicó la solución hace meses y la web sigue sin aplicarla.

Desde WordPress 5.5 puedes activar las actualizaciones automáticas de plugins y temas desde el propio panel (Plugins > Todos los plugins, columna «Actualizaciones automáticas»). Para el core, las menores se aplican solas desde la versión 3.7. Las mayores (como el salto a WordPress 7.0) las decides tú.

Lo que te recomiendo:

• Auto-actualizaciones activadas para todos los plugins que no sean críticos para tu negocio (los críticos los actualizas a mano tras probarlos en staging).
• Auto-actualizaciones activadas para el tema, sobre todo si es un tema oficial o uno que recibe mantenimiento serio.
• Notificaciones de WPScan o Patchstack para enterarte de vulnerabilidades antes de que las apliquen contra ti.

Si quieres una visión global del estado de tu instalación, échale un vistazo a Site Audit Snapshot, un plugin que audita WordPress en un clic y te dice qué está obsoleto.

7. Mantén la instalación limpia (borra lo que no usas)

Cada plugin instalado es código que se ejecuta en tu sitio. Aunque esté desactivado, los archivos siguen ahí y pueden ser explotados si tienen una vulnerabilidad. Lo mismo con los temas: si tienes Twenty Twenty-One, Twenty Twenty-Two y tres temas que probaste en su día, son tres potenciales agujeros.

La regla es sencilla: si no lo usas, lo borras. No lo desactivas, lo borras. Mantén solo el tema activo, el tema padre si trabajas con un child theme, y los plugins que de verdad están en producción.

Lo mismo aplica a:

• Usuarios antiguos que ya no entran (revisa Usuarios > Todos los usuarios y borra los que llevan meses inactivos).
• Comentarios spam acumulados (limpieza con Akismet o Antispam Bee).
• Revisiones de entradas si tu base de datos pesa demasiado (WP-Optimize las depura).

8. Desactiva pingbacks, trackbacks y XML-RPC si no los necesitas

Los pingbacks y trackbacks son notificaciones automáticas cuando otra web enlaza tu contenido. La mayoría de webs ya no los usan, pero siguen activos por defecto y pueden ser aprovechados para ataques DDoS amplificados.

Para desactivarlos, ve a Ajustes > Comentarios y desmarca «Permitir notificaciones de enlaces de otros blogs (pingbacks y trackbacks) en los nuevos artículos».

XML-RPC es otra puerta que poca gente usa hoy (la API REST de WordPress lo ha sustituido casi por completo). Si no usas la app de WordPress.com en el móvil ni Jetpack ni servicios externos que lo necesiten, desactívalo. Plugins como Disable XML-RPC o reglas en .htaccess hacen el trabajo en dos minutos.

Y si te interesa el lado oscuro, hace poco analizamos cómo los hackers están explotando webs WordPress con campañas tipo ClickFix usando inyecciones JS y suplantaciones de Cloudflare. Lectura recomendada para entender cómo entran realmente.

9. Permisos correctos en archivos y carpetas

Los permisos UNIX controlan quién puede leer, escribir o ejecutar cada archivo. Mal configurados, dan vía libre a un atacante que haya colado un script.

La regla canónica para WordPress:

• Carpetas: 755
• Archivos: 644
• wp-config.php: 600 o 640 (el archivo más sensible, contiene las credenciales de la base de datos).
• .htaccess: 644

Nunca, jamás, uses 777 en nada (ni siquiera para «arreglar un problema temporal»). Si tu hosting te obliga a poner 777 para que algo funcione, ese hosting tiene un problema de configuración y debes hablar con el soporte o cambiarte.

Para revisar y corregir permisos en bloque, plugins como Solid Security (antes iThemes Security) tienen una opción que detecta archivos con permisos incorrectos y los corrige.

10. Bloquea la indexación de directorios

Cuando un servidor web no encuentra un archivo index.php o index.html en un directorio, por defecto puede mostrar el listado de archivos de esa carpeta. Eso significa que cualquier visitante puede ver la lista de plugins instalados, los temas, los uploads… Información valiosa para un atacante que busque vulnerabilidades concretas.

Para bloquearlo tienes dos opciones:

• A nivel servidor: añade Options -Indexes a tu .htaccess (Apache) o autoindex off; en la configuración del server block (Nginx).
• A nivel WordPress: muchos plugins de seguridad lo activan por ti (Wordfence, Solid Security, All-In-One Security).

Habla con tu proveedor de hosting o con tu cloud administrado para WordPress si no tienes acceso a estos archivos. Es una de esas configuraciones que casi nadie revisa y que se pasa por alto.

Lo que cubren estos diez consejos (y lo que no)

Estas diez medidas frenan la inmensa mayoría de ataques automatizados contra WordPress, que son los que afectan al 95% de los sitios. Lo que no cubren son las vulnerabilidades zero-day en plugins concretos, los ataques dirigidos contra una marca específica o los supply-chain attacks. Para esos casos necesitas un buen WAF (Cloudflare, Sucuri o Wordfence Premium), un hosting que parchee el sistema operativo a tiempo y atención a los avisos de WPScan o Patchstack.

Si vas a tocar wp-config.php, .htaccess o permisos por primera vez, hazte siempre una copia antes. Y si gestionas varios sitios, considera centralizar la auditoría con herramientas tipo Patchstack, WPScan o el propio Site Audit Snapshot del repositorio.

Preguntas frecuentes

¿Es suficiente con un plugin de seguridad o tengo que combinar varios?

Para un sitio normal, uno bien configurado tipo Wordfence o Solid Security cubre lo básico (firewall, 2FA, escaneo, limit login). Si quieres separar funciones, tener Wordfence solo para firewall, Limit Login Attempts Reloaded y Two-Factor te da más control y menos peso. Lo importante es no instalar tres plugins de seguridad encima del otro porque se pisan entre ellos y acaban ralentizando el sitio.

¿Cambiar la URL del login es realmente útil?

Es seguridad por oscuridad. No para a un atacante decidido, pero sí elimina el ruido de bots automáticos que prueban /wp-login.php y /wp-admin a saco. Combinado con limit login attempts y 2FA reduce el log de intentos a casi cero. WPS Hide Login lo hace en un par de clics.

¿Sigue siendo necesario desactivar XML-RPC en 2026?

Si no usas la app móvil de WordPress, Jetpack ni servicios externos tipo IFTTT o publicación remota, sí. La API REST de WordPress cubre prácticamente todos los casos modernos. XML-RPC sigue activado por defecto y se ha usado históricamente para ataques de fuerza bruta amplificada y DDoS reflejados.

¿Qué hago si descubro que mi WordPress ya está hackeado?

Lo primero, cambiar todas las contraseñas (administradores, FTP, base de datos) desde un equipo limpio. Después, restaurar una copia de seguridad anterior al hackeo si la tienes. Si no, escanear con Wordfence o Sucuri SiteCheck para identificar archivos modificados, eliminar puertas traseras y reinstalar el core de WordPress desde Herramientas > Salud del sitio.

¿Los hostings WordPress administrados eximen de aplicar estos consejos?

Cubren la parte de servidor (firewall perimetral, parches del SO, monitorización), pero no la parte de aplicación. Sigues teniendo que activar 2FA, limitar el login, mantener plugins actualizados y usar contraseñas fuertes. Eso lo gestionas tú o tu agencia, el hosting no entra al wp-admin por ti.