#13 Hardening WordPress: 10 cambios que puedes hacer hoy sin tocar código
Después de cada auditoría encuentro las mismas configuraciones inseguras. Aquí están.
Cuando hago una auditoría de seguridad en un WordPress, el 90% de las instalaciones tienen los mismos problemas. No porque los propietarios sean descuidados, sino porque nadie les explicó qué configurar al instalar.
La buena noticia: la mayoría de estos cambios se hacen desde el panel de administración, sin tocar una sola línea de código y sin necesidad de contratar a nadie.
¿Necesitas información? osint[.]aragonosint.com
Tema de la semana
Hardening WordPress: 10 cambios que puedes hacer hoy
1. Limita los intentos de login
Por defecto, WordPress permite intentar contraseñas indefinidamente. Un atacante puede probar miles de combinaciones de forma automatizada sin que nadie lo detenga. Un plugin como Limit Login Attempts Reloaded bloquea una IP después de un número definido de intentos fallidos. Instalación y configuración: cinco minutos.
2. Activa el doble factor en el login
Con un plugin como WP 2FA, cada vez que alguien inicie sesión en tu WordPress necesitará confirmar su identidad con una app de autenticación. Aunque alguien obtenga tu contraseña, no puede entrar sin el segundo factor.
3. Desactiva XML-RPC1 si no lo usas
XML-RPC es una interfaz que permite comunicación remota con WordPress. Tiene usos legítimos (apps móviles, Jetpack) pero también es un vector habitual de ataques de fuerza bruta2 y DDoS. Si no la usas, desactívala. El plugin Disable XML-RPC lo hace en un clic.
4. Cambia la URL de acceso al panel
La URL por defecto tudominio.com/wp-admin es conocida por todos los atacantes. Cambiarla no es una protección completa — es security through obscurity3 — pero reduce el ruido de ataques automatizados. Plugin: WPS Hide Login.
5. Desactiva la edición de archivos desde el panel
WordPress permite editar archivos de temas y plugins directamente desde el panel de administración. Si alguien compromete una cuenta de administrador, puede modificar archivos del servidor desde el navegador. Añade esta línea al archivo wp-config.php: define('DISALLOW_FILE_EDIT', true);. Esta es la única que requiere tocar un archivo.
6. Oculta la versión de WordPress
WordPress incluye la versión en el código fuente de la web por defecto. Si estás desactualizado, eso facilita identificar vulnerabilidades conocidas. Con un plugin de seguridad como Wordfence4 puedes eliminarlo en un clic.
7. Revisa los roles y usuarios activos
¿Hay usuarios con rol de Administrador que ya no trabajan en el proyecto? ¿Cuentas de agencias externas que ya no gestionan la web? Usuarios → Todos los usuarios → revisa la lista y elimina o reduce el rol de quienes no deberían tener acceso completo.
8. Fuerza HTTPS en toda la web
Si tu web ya tiene certificado SSL5 pero aún sirve páginas en HTTP, cualquier comunicación no cifrada es interceptable. Asegúrate de que tienes una redirección 301 de HTTP a HTTPS activa y que el certificado SSL está configurado correctamente. Tu hosting probablemente tiene Let’s Encrypt disponible de forma gratuita.
9. Mantén actualizados WordPress, temas y plugins
El 90% de los compromisos en WordPress se deben a versiones desactualizadas con vulnerabilidades conocidas y publicadas. Las actualizaciones de seguridad deben aplicarse lo antes posible. Si no las vas a revisar manualmente cada semana, activa las actualizaciones automáticas para las actualizaciones menores de WordPress.
10. Instala un plugin de seguridad básico
Wordfence en su versión gratuita incluye firewall, escáner de malware, monitorización de intentos de login y alertas por email. No es la solución definitiva, pero añade una capa de detección que WordPress no tiene por defecto.
¿No tienes un seguro de ciber riesgo? Aquí te ayudan…
Para llevar
Los tres cambios de mayor impacto si solo tienes tiempo para hacer tres:
1. Limita los intentos de login (Limit Login Attempts Reloaded).
Es el cambio más inmediato contra ataques de fuerza bruta. Instalación y configuración en cinco minutos desde el repositorio de plugins de WordPress.
2. Activa doble factor en todas las cuentas de administrador.
Aunque alguien obtenga la contraseña de un administrador, no podrá entrar sin el segundo factor. WP 2FA es gratuito y funciona con cualquier app de autenticación.
3. Revisa y limpia los usuarios con acceso de administrador.
Es frecuente encontrar cuentas de desarrolladores, agencias o colaboradores que ya no deberían tener acceso. Cinco minutos en Usuarios → Todos los usuarios pueden eliminar vectores de entrada innecesarios.
Expertos en proteger su empresa y datos digitales.
SOC 24/7 (Centro de Operaciones de Seguridad)
CISO as a Service
Formación bonificada en ciberseguridad (FUNDAE)
Backup profesional
En el radar — próxima edición
#14 · Vishing: la llamada del banco que no es del banco
Saben tu nombre. Conocen tu número de cuenta. Te dicen que hay una transacción sospechosa y que necesitan verificar tu identidad. Todo parece legítimo. La semana que viene te explico cómo funciona el vishing, por qué es tan efectivo y qué tienes que hacer cuando recibes una llamada así.
Hasta la próxima
Si tienes un WordPress y llevas tiempo pensando que habría que revisarlo, esta lista es un buen punto de partida. No hace falta hacerlo todo a la vez: elige los tres puntos de arriba y empieza por ahí.
Si prefieres que lo revisemos juntos o quieres que haga yo la implementación, escríbeme. Te digo qué tiene tu instalación y qué prioridad tiene cada cosa.
Cada viernes a las 9 de la mañana tienes una nueva edición de El Hurón del Hack en tu bandeja de entrada. Si conoces a alguien con una web WordPress que nunca la ha revisado por dentro, pásale este número.
Nos vemos el viernes que viene.
Chabi Angulo
Consultor de Ciberseguridad
chabiangulo.com · LinkedIn
XML-RPC: Protocolo de comunicación remota que WordPress incluye por defecto. Permite ejecutar operaciones en WordPress desde aplicaciones externas, pero también es usado en ataques de fuerza bruta y amplificación DDoS.
Fuerza bruta: Ataque que prueba sistemáticamente combinaciones de usuario y contraseña hasta encontrar una válida. Herramientas automatizadas pueden probar miles de combinaciones por segundo.
Security through obscurity: Estrategia de seguridad que oculta detalles del sistema (como la URL de login) para dificultar ataques. No es una protección sólida por sí sola, pero reduce el ruido de ataques automatizados no dirigidos.
Wordfence: Plugin de seguridad para WordPress con versión gratuita que incluye firewall de aplicaciones web, escáner de malware, protección contra fuerza bruta y alertas en tiempo real.
SSL/TLS: Protocolos de cifrado que protegen la comunicación entre el navegador del usuario y el servidor web. Visualmente se identifica por el candado y el protocolo HTTPS en la URL.



