¿Es WordPress seguro? (Y cómo prevenir problemas de seguridad)

El núcleo del software de WordPress es muy seguro. La plataforma sigue unos procedimientos de seguridad muy fuertes y se actualiza periódicamente.

La mayoría de los problemas de seguridad de WordPress no provienen de WordPress en sí, sino que dependen más de la configuración y el mantenimiento del sitio.

En esta guía hablaremos sobre la seguridad en WordPress, cuáles son los principales riesgos y de dónde proceden y qué puedes hacer para reducir las posibilidades de sufrir un hackeo.

¿Es WordPress una opción segura para sitios web? 

Sí, WordPress es totalmente seguro. No suele haber muchas vulnerabilidades en el núcleo de WordPress, y si las hay, se solucionan rápidamente. Los problemas de seguridad ocurren en torno al ecosistema de WordPress, no en la plataforma del núcleo.

A la hora de atacar un sitio, se suele aprovechar:

• Plugins y temas obsoletos o abandonados.
• Contraseñas débiles o reutilizadas.
• Falta de actualización del software.
• Entornos de alojamiento mal configurados o de baja calidad.

¿Y por qué piensa la gente que WordPress no es seguro?

La gente piensa que WordPress no es seguro porque es muy utilizado, es objeto de frecuentes ataques y no suele ocultar sus vulnerabilidades, no porque el software en sí sea poco seguro.

Estos son algunos de datos que alimentan este mito de WordPress:

• Más del 43 % de las webs funcionan con WordPress, así que es normal que aparezca más a menudo que otras plataformas en informes de seguridad y avisos de navegadores.

• Los problemas causados por plugins, temas o el hosting se suelen etiquetar como problemas de WordPress, aunque realmente no forman parte del núcleo de WordPress. Por ejemplo, Patchstack, la base de datos de vulnerabilidades de WordPress, registró que, de una cantidad de 5948 vulnerabilidades, casi el 97 % se encontraron en plugins de WordPress, mientras que en el núcleo del software de WordPress solo se encontraron 13 vulnerabilidades en 2024.
• Empresas de seguridad como Wordfence organizan programas de caza de bugs y publican abiertamente las vulnerabilidades encontradas. Estos eventos mejoran la seguridad de WordPress, pero también aumenta su visibilidad.

¿Cómo de seguro y fiable es el núcleo de WordPress?

El núcleo del software de WordPress es seguro y recibe mantenimiento de forma activa. Los problemas de seguridad en el núcleo de la plataforma suelen ser raros y se solucionan bastante rápido.

De la seguridad del núcleo de WordPress se encargan:

• Un equipo de seguridad dedicado que revisa los informes de vulnerabilidades y coordina cómo comunicarlas de forma responsable.
• La transparencia del código abierto permite que miles de colaboradores puedan identificar y solucionar errores.
• Las actualizaciones de seguridad periódicas, incluyendo lanzamientos automáticos con mejoras de seguridad menores.
• Las herramientas integradas para fortalecer las contraseñas, que animan a establecer credenciales más seguras.

Las mayorías de los problemas de seguridad a gran escala de WordPress no proceden del núcleo del software, sino de los plugins, temas o de un mantenimiento deficiente del sitio.

¿Qué hace WordPress.com para mejorar más la seguridad?

El núcleo de WordPress funciona como una base segura. Pero, en la práctica, muchos de los riesgos de seguridad dependen de cómo se aloja y gestiona una web.

WordPress.com reduce estos riesgos, ya que se encarga de varias capas de seguridad fundamentales por ti.

Por ejemplo:

• Autenticación en dos pasos integrada para proteger las cuentas de accesos no autorizados.
• Actualizaciones del núcleo de WordPress automáticas.
• Cifrado SSL gratuito en todos los sitios.
• Análisis de seguridad diarios de plugins, temas y malware.
• Cortafuegos de aplicaciones web (WAF), mitigación de DDoS y protección contra ataques de fuerza bruta.
• Copias de seguridad periódicas en la plataforma, y, en los planes Business o superior, copias de seguridad en tiempo real.
• Registro de actividad para monitorizar los cambios en el sitio.
• Un equipo de seguridad dedicado y un programa público de caza de bugs.

Pasos para mantener la seguridad de tu web de WordPress

Para mantener la seguridad de tu sitio de WordPress, lo mejor es reducir los riesgos evitables, es decir, los que provienen de software obsoleto, controles de acceso poco seguros y entornos de alojamiento sin medidas de seguridad integradas.

Vamos a revisar en profundidad los pasos básicos.

1. Utiliza contraseñas seguras únicas para cada cuenta

Crea contraseñas complejas únicas para cada cuenta de usuario. Evita formatos fáciles de adivinar tipo «contraseña123», ya que son susceptibles a ataques de fuerza bruta.

Utiliza el generador de contraseñas integrado de WordPress.com para crear credenciales seguras, y cambia tu contraseña inmediatamente si detectas actividad sospechosa.

2. Activa la autenticación en dos pasos (2FA)

Activa la autenticación en dos pasos para añadir una segunda capa de verificación a tu cuenta.

Cuando está activado, para acceder a tu cuenta necesitas, además de tu contraseña, un código único de una aplicación de autenticación o de un SMS.

Incluso si alguien tiene tu contraseña, no podrá acceder a tu cuenta sin este código.

WordPress.com incluye la autenticación en dos pasos de forma integrada. En los sitios de WordPress autoalojados, tendrás que activar este sistema mediante un plugin de seguridad.

3. Revisa y limita el acceso de los usuarios

Controla quién tiene acceso a tu sitio y revisa sus roles de usuario frecuentemente.

Proporciona a cada usuario su propia cuenta con su rol correspondiente. Evita compartir credenciales, y otorga acceso de administrador solo a usuarios de confianza.

Una vez al mes, ve a Usuarios → Todos los usuarios y comprueba:

• ¿Hay alguna cuenta que no conozcas?
• ¿Alguien tiene acceso de administrador innecesariamente?
• ¿Hay algún colaborador o externo antiguo que deba ser eliminado?
• ¿Están bien marcados los colaboradores externos?

Elimina las cuentas sin uso o cambia los permisos si no es necesario que tengan acceso total.

4. Monitoriza el registro de actividad de tu sitio

También debes revisar los registros de actividad de tu sitio periódicamente para ver quién ha accedido a la web, qué ha cambiado y cuándo.

Si detectas accesos extraños, nuevos usuarios con permisos de administrador, plugins desconocidos o cambios en los ajustes, reestablece inmediatamente las contraseñas e investiga más a fondo.

• Los planes gratuito, Personal y Premium de WordPress.com incluyen registros de los últimos 20 eventos, mientras que en los planes Business y superior puedes consultar el registro completo gracias al registro de actividad de Jetpack. 
• Los sitios autoalojados pueden instalar un plugin de registro de actividad para WordPress.

5. Mantén WordPress, los temas y los plugins siempre actualizados

Actualiza el núcleo de WordPress, los temas y los plugins siempre que haya una nueva versión disponible.

Esto es fundamental, ya que el software obsoleto es una de las causas más habituales de problemas de seguridad en WordPress.

Instala solamente plugins y temas de fuentes de confianza (como el directorio de plugins de WordPress.com), elige aquellos que reciben un mantenimiento activo y elimina lo que ya no utilizas: los plugins y temas inactivos todavía pueden funcionar como brecha de seguridad.

Si utilizas WordPress.com, las actualizaciones del núcleo se gestionan automáticamente, y los planes Business y superior también incluyen las actualizaciones de los plugins.

Hay muchas funciones del núcleo que vienen de serie en WordPress.com, así que no es necesario instalar tantos plugins que puedan aumentar las posibilidades de riesgos de seguridad.

En los sitios de WordPress autoalojados, tú eres responsable de monitorizar y aplicar las actualizaciones.

6. Activa los certificados SSL

Asegúrate de que tu sitio utiliza HTTPS para cifrar los datos entre tu web y los visitantes.

Un certificado SSL sirve para proteger infomación confidencial, como las credenciales de acceso o las respuestas de los formularios. Sin él, es posible que los navegadores clasifiquen tu sitio como no seguro, lo que puede afectar a tu reputación y exponer datos de los usuarios.

Comprueba que el SSL está activo en la barra de direcciones del navegador: busca que la URL incluya https:// y un icono de candado.

Todos los sitios alojados en WordPress.com incluyen un certificado SSL gratuito activado de forma predeterminada. En los sitios de WordPress autoalojados, debes configurar el SSL a través de tu proveedor de hosting.

7. Configura copias de seguridad fiables

Haz copias periódicas de tu sitio por si necesitas restaurarlo en caso de que algo salga mal o haya una brecha de seguridad.

Gracias a las copias de seguridad, puedes restaurar una versión limpia de tu web si falla alguna actualización, ocurre una infección de malware o hay algún cambio imprevisto.

Busca opciones que ofrezcan copias de seguridad automáticas y restauraciones sencillas, como, por ejemplo, el plugin Jetpack.

En WordPress.com, los sitios se copian dentro de la plataforma, y los planes Business y Commerce incluyen copias de seguridad en tiempo real con restauraciones con un solo clic gracias a Jetpack VaultPress Backup.

En los sitios de WordPress autoalojados, tendrás que instalar un plugin de copias de seguridad para conseguir el mismo nivel de protección.

8. Elige un hosting web seguro

Elige un proveedor de hosting WordPress de confianza con buenas funciones de seguridad para garantizar un entorno seguro para tu sitio web.

A la hora de elegir un proveedor de hosting web, fíjate en lo siguiente:

• Cortafuegos para bloquear el tráfico sospechoso.
• Monitorización de la actividad sospechosa para proteger tu web ante intentos de acceso no autorizados, ataques de fuerza bruta y ataques de denegación del servicio (DDoS).
• Análisis diarios del sitio en busca de plugins y temas peligrosos, malware y otras vulnerabilidades.
• Actualizaciones gestionadas que apliquen los últimos parches del núcleo de WordPress, plugins y temas de forma automática.
• Un equipo de seguridad especializado que monitorice las amenazas y resuelva los problemas tan pronto como aparezcan.

En WordPress.com, todas estas capas vienen integradas en la plataforma, además de otras funciones de seguridad de Jetpack, como los registros de actividad, el análisis de malware y las copias de seguridad en tiempo real (en planes específicos).

7. Mantente al día 

Cada día surgen nuevas amenazas, por lo que es recomendable mantenerse al día de lo que ocurre en WordPress y sus problemas de seguridad.

No es necesario que lo sepas todo sobre la seguridad web. Pero puedes estar al tanto de las novedades de seguridad de WordPress y comprobar los problemas que puedan afectar a la seguridad de tu web.

Te recomendamos estas fuentes fiables donde seguir las novedades de seguridad de WordPress (en inglés):

• Noticias de seguridad de Patchstack
• Resumen mensual de vulnerabilidades y de parches de Sucuri
• Blog de Wordfence

Garantiza la seguridad de tu web con WordPress.com

En esencia, y en su estructura, WordPress es extremadamente seguro. Las vulnerabilidades suelen venir de plugins y temas obsoletos, hosting poco seguro o prácticas de seguridad deficientes.

Según Patchstack, «la gestión y mitigación de vulnerabilidades (junto con la autenticación en dos pasos y la gestión de usuarios) siguen siendo las medidas de seguridad más importantes que se pueden tomar de forma proactiva».

Y la manera más sencilla de no perderse entre tantas rutinas de seguridad es utilizar un proveedor de hosting que se encargue de todo por ti.

WordPress.com incluye medidas de seguridad integradas como las actualizaciones del núcleo automáticas, SSL gratuito, cortafuegos, análisis de malware, monitorización de la actividad y copias de seguridad, a la vez que reduce el número de herramientas de seguridad que debes gestionar por tu cuenta.