WordPress alimenta más de la mitad de los sitios web del mundo, lo que también lo convierte en el blanco favorito de los atacantes. No porque sea inseguro de por sí, sino porque su popularidad hace que las vulnerabilidades sean más rentables de explotar. La buena noticia es que con los plugins correctos puedes levantar una defensa sólida sin ser ingeniero en sistemas.

Eso sí, instalar plugins a lo loco tampoco ayuda. Tener diez plugins de seguridad activos al mismo tiempo puede ralentizar tu web y generar conflictos. La clave es elegir bien, configurar correctamente y mantener todo actualizado.

Wordfence Security

Es el plugin de seguridad más usado en WordPress y con buena razón. Incluye un firewall de aplicaciones web (WAF), un escáner de malware y un sistema de detección de intrusiones en tiempo real. La versión gratuita ya cubre lo esencial para la mayoría de sitios pequeños y medianos.

Lo que hace Wordfence de fondo es comparar los archivos de tu instalación con los originales del repositorio de WordPress. Si algo cambió sin que tú lo tocaras, te avisa. También bloquea IPs que intentan múltiples accesos fallidos, lo que corta de raíz los ataques de fuerza bruta.

Un punto a tener en cuenta: Wordfence consume bastantes recursos del servidor. Si tu hosting compartido es del básico, puede que notes cierta lentitud. En ese caso, míralo con cuidado y ajusta la frecuencia de los escaneos.

Sucuri Security

Sucuri es otra opción robusta, especialmente por su capacidad de monitoreo. La versión gratuita te permite auditar la actividad del sitio, hacer comprobaciones de integridad de archivos y recibir alertas por correo ante eventos sospechosos. Su punto fuerte en la versión de pago es el WAF en la nube, que filtra el tráfico malicioso antes de que siquiera llegue a tu servidor.

Para sitios de e-commerce en Perú que procesan pedidos diariamente, tener ese nivel de filtrado vale la inversión. Sucuri también ofrece servicio de limpieza incluido en sus planes, lo cual da tranquilidad si algo llega a pasar.

iThemes Security (ahora Solid Security)

Este plugin es especialmente útil si buscas un enfoque más preventivo y basado en buenas prácticas. Permite ocultar el área de administración (cambiar la URL de /wp-admin), limitar los intentos de inicio de sesión, forzar contraseñas fuertes, deshabilitar XML-RPC si no lo usas, y activar la verificación en dos pasos para los usuarios del panel.

Es bastante completo para la versión gratuita y la interfaz es más amigable que Wordfence para quienes no tienen perfil técnico.

WP Hide & Security Enhancer

A veces la mejor seguridad es la que no se ve. Este plugin cambia y oculta las rutas por defecto de WordPress: el directorio wp-content, el acceso al login, la URL de wp-admin, entre otros. Al no exponer las rutas estándar, reduces la superficie de ataque frente a bots automatizados que rastrean vulnerabilidades conocidas.

No reemplaza a un firewall, pero es un complemento inteligente. Como regla general, cuanto menos le digas a un atacante sobre cómo está construida tu web, mejor.

UpdraftPlus: no es de seguridad, pero es esencial

Técnicamente es un plugin de copias de seguridad, pero forma parte de cualquier estrategia de seguridad seria. UpdraftPlus programa backups automáticos de tu sitio y los guarda en un lugar externo: Google Drive, Dropbox, Amazon S3 o cualquier almacenamiento remoto.

Si tu web es hackeada y no tienes backup, la recuperación es mucho más difícil y cara. Si tienes un backup de ayer guardado en Google Drive, restauras en unas horas. Así de simple. Configúralo para que haga copias diarias y las guarde al menos durante dos semanas.

Qué no debes hacer con estos plugins

• No instales dos plugins que hagan lo mismo (por ejemplo, Wordfence y Sucuri activos al mismo tiempo con sus WAF encendidos).
• No ignores las alertas que envían por correo. Si Wordfence te avisa de diez intentos fallidos de acceso, investiga.
• No los configures y te olvides. Revisa el panel de seguridad al menos una vez al mes.
• No uses plugins descargados de fuentes no oficiales, aunque sean «gratis». Son la principal puerta de entrada de malware.

Configuración básica que no puede faltar

Más allá de los plugins, hay ajustes que debes revisar directamente en WordPress. Cambia el usuario «admin» por un nombre personalizado. Usa contraseñas generadas aleatoriamente (los navegadores modernos las sugieren y guardan). Activa la autenticación en dos pasos para todos los usuarios con rol de administrador o editor.

Y si tienes un equipo trabajando en la web, asigna el rol mínimo necesario a cada persona. Un redactor no necesita permisos de administrador. Limitar los accesos reduce los puntos de fallo.

Si quieres que alguien revise la configuración de seguridad de tu WordPress o necesitas ayuda para instalar y configurar estos plugins correctamente, en freelo.pe podemos hacerlo como parte del mantenimiento mensual de tu sitio.

Cómo verificar que tu WordPress no tiene puertas traseras

Un problema que se suele descubrir tarde es que, aunque hayas limpiado el malware visible, el atacante dejó una puerta trasera: un archivo PHP pequeño escondido en una carpeta de imágenes o dentro del directorio de un tema, que le permite entrar de nuevo cuando quiera.

Wordfence y Sucuri hacen un buen trabajo detectando estos archivos comparando con el código original del repositorio. Pero también puedes buscar manualmente en el servidor archivos PHP dentro de la carpeta wp-content/uploads, donde no debería haber ninguno. Cualquier .php en esa carpeta es sospechoso por definición.

Otra señal de puerta trasera: si después de limpiar y cambiar contraseñas la web vuelve a mostrar comportamiento extraño en días o semanas, el atacante sigue teniendo acceso. En ese caso, la limpieza no fue completa y hay que ir más a fondo.

La seguridad no es un evento, es un proceso

Instalar plugins de seguridad es el punto de partida, no el punto de llegada. Una web segura requiere revisión periódica: comprobar los logs de actividad, mantener actualizados todos los componentes, revisar qué usuarios tienen acceso y con qué permisos, y asegurarse de que los backups se están ejecutando correctamente.

Muchas pymes en Perú tratan la seguridad como un gasto puntual y no como un mantenimiento continuo. Ese enfoque funciona hasta que no funciona, y cuando falla, el costo suele ser mayor que lo que habría costado la prevención.

Preguntas frecuentes

¿Puedo usar Wordfence y Sucuri al mismo tiempo?

No es recomendable tener ambos firewalls activos simultáneamente porque pueden generar conflictos y consumen más recursos. Lo más práctico es elegir uno como firewall principal y usar el otro solo para auditoría de archivos si lo necesitas. La mayoría de sitios pequeños están bien cubiertos con uno solo bien configurado.

¿El plugin de seguridad reemplaza tener un buen hosting?

No. El hosting es la base y un plugin de seguridad es una capa adicional. Si tu hosting tiene permisos de carpetas mal configurados, software del servidor desactualizado o no monitorea el tráfico, un plugin solo puede hacer hasta cierto punto. Necesitas ambas cosas: un hosting confiable y un plugin bien configurado.

¿Qué es XML-RPC y por qué debería desactivarlo?

XML-RPC es una funcionalidad de WordPress que permite comunicarse con el sitio de forma remota. Hoy en día pocas aplicaciones legítimas lo usan, pero los atacantes sí lo explotan para intentar accesos masivos. Si no usas apps externas que lo requieran, desactivarlo es una medida de seguridad sencilla que puedes hacer desde iThemes Security o con un pequeño snippet de código.

¿Con qué frecuencia debo ejecutar el escaneo de malware?

Para la mayoría de sitios, un escaneo semanal es suficiente. Si tu web recibe mucho tráfico o procesa pagos, un escaneo diario es más prudente. Wordfence en su versión gratuita programa escaneos automáticos, aunque con cierta limitación de horario. La versión premium te permite programarlos con más flexibilidad.

¿Los plugins de seguridad afectan la velocidad de la web?

Sí pueden afectarla si están mal configurados o si el hosting es muy limitado. Los escaneos en tiempo real y el firewall consumen recursos del servidor. La solución es programar los escaneos en horarios de poco tráfico (de madrugada, por ejemplo) y revisar qué reglas del firewall están activas. En un hosting decente, el impacto en velocidad es mínimo.