Introducción
WordPress es potente, flexible y ampliamente utilizado, pero si no se gestiona correctamente, puede convertirse en un blanco fácil para ataques.
En este artículo analizamos los errores de seguridad más comunes en WordPress que pueden comprometer una tienda online: desde configuraciones mal gestionadas hasta malas prácticas con plugins o permisos de archivos.
También te mostraremos cómo detectar, prevenir y corregir estos fallos con soluciones prácticas.
Índice
- 1. Uso de contraseñas débiles o reutilizadas
- 2. Plugins y temas desactualizados
- 3. Permisos de archivos incorrectos
- 4. Acceso a wp-admin sin protección
- 5. Usuarios con roles mal asignados
- 6. Información expuesta en errores o encabezados
- 7. Falta de monitorización o registros
- 8. Conclusión y checklist rápida
1. Uso de contraseñas débiles o reutilizadas
Muchas intrusiones comienzan por fuerza bruta o por uso de contraseñas filtradas en otras plataformas. 💡 Usa un gestor de contraseñas y activa doble factor (2FA) siempre que sea posible.
2. Plugins y temas desactualizados
Los plugins representan más del 90% de las vulnerabilidades activas en WordPress. ✔️ Revisa semanalmente actualizaciones. ✔️ Elimina los que no uses. ✔️ Usa plugins conocidos y mantenidos.
3. Permisos de archivos incorrectos
| Archivo | Permisos recomendados |
|---|---|
| wp-config.php | 400 o 440 |
| Archivos .php del core | 644 |
| Carpetas /wp-content/ | 755 |
🔐 Ajusta desde FTP o consola con chmod y chown.
4. Acceso a wp-admin sin protección
El área de administración debería tener al menos uno de estos métodos:
- 🔒 Autenticación doble factor
- 🔐 Protección por IP o htpasswd
- 🛡️ Limitación de intentos de acceso
5. Roles mal asignados a usuarios
Evita tener usuarios con rol de administrador innecesario. 💡 Audita con SQL:
SELECT user_id, meta_value FROM wp_usermeta WHERE meta_key = 'wp_capabilities' AND meta_value LIKE '%administrator%';
📌 Revisa cada usuario antes de cambiar roles automáticamente.
6. Información expuesta en errores o encabezados
- 🔍 Evita mostrar errores PHP en producción:
display_errors = Off - 🔧 Desactiva el «generator» que muestra versión de WordPress
- 💡 Usa un plugin de seguridad para gestionar headers HTTP
7. Falta de logs y monitorización
¿Cómo sabrías si te han intentado hackear ayer?
- Activa WP_DEBUG_LOG
- Instala plugins como WP Activity Log
- Revisa logs de acceso en el servidor
8. Conclusión y checklist
✅ Checklist rápida:
- Contraseñas fuertes y 2FA activado
- Plugins y temas actualizados
- Roles bien asignados
- Permisos seguros
- wp-admin protegido
- Monitorización activa
📩 ¿Quieres que revisemos tu instalación o la reforcemos con reglas personalizadas? Escríbenos y te ayudamos.