Hardening WordPress: cómo proteger tu sitio de ataques y hackers

El hosting puede darte un servidor bien configurado, SSL activo, backups automáticos y firewall perimetral. Pero hay una capa que solo tú puedes configurar: el hardening interno de WordPress.

Esta guía es complementaria a nuestra guía de seguridad hosting WordPress, que cubre SSL, backups y actualizaciones. Aquí vamos más adentro: configuración activa dentro del CMS para reducir la superficie de ataque.

Por qué un WordPress "recién instalado" es vulnerable

WordPress, instalado con configuración por defecto, tiene varias puertas abiertas que los bots exploran automáticamente:

• La URL de login es siempre /wp-admin o /wp-login.php — todos los bots la conocen;
• XML-RPC está habilitado — un vector de ataques de fuerza bruta masivos;
• La versión de WordPress es visible en el código fuente;
• Los permisos de archivos suelen ser demasiado permisivos.

Ninguno de estos problemas es crítico por sí solo. En conjunto, hacen que tu sitio sea un blanco fácil.

1. Cambiar la URL del panel de administración

El ataque más común contra WordPress es intentar contraseñas en /wp-login.php. Si cambias esa URL, eliminas el 90% del ruido automatizado.

Plugin recomendado: WPS Hide Login (gratuito, más de 2 millones de instalaciones).

Instala el plugin y ve a Ajustes → WPS Hide Login. Define una URL personalizada, por ejemplo /acceso-admin o cualquier combinación que recuerdes. El plugin redirige el antiguo /wp-login.php a la página de inicio.

Importante: Anota la nueva URL antes de guardar. Si la olvidas, puedes acceder por FTP, desactivar el plugin y volver a la URL original.

2. Deshabilitar XML-RPC

XML-RPC es una API antigua de WordPress que permite publicar desde apps externas. En 2026, casi nadie la usa legítimamente, pero los bots la explotan para ataques de fuerza bruta distribuidos (pueden enviar miles de combinaciones de contraseñas en una sola petición).

Forma más simple: agrega estas líneas al archivo .htaccess en la raíz de tu WordPress:

# Bloquear XML-RPC
<Files xmlrpc.php>
  Order Allow,Deny
  Deny from all
</Files>

Alternativa con plugin: Wordfence y iThemes Security incluyen opción para deshabilitar XML-RPC desde el panel.

Si usas Jetpack, este necesita XML-RPC para funcionar. En ese caso, no lo bloquees completamente; mejor usa las opciones del plugin de seguridad para restringir quién puede usarlo.

3. Activar autenticación de dos factores (2FA)

Una contraseña fuerte no es suficiente si alguien la roba (phishing, malware, filtración de datos). El 2FA agrega una segunda capa: aunque alguien tenga tu contraseña, necesita el código temporal de tu teléfono.

Plugin recomendado: WP 2FA (gratuito).

Instala el plugin y sigue el asistente. Te generará un código QR para escanear con Google Authenticator o Authy en tu teléfono. Desde ese momento, el login requiere contraseña + código de 6 dígitos.

Activa 2FA al menos para todos los usuarios con rol de Administrador.

4. Configurar permisos correctos de archivos

Los permisos incorrectos son una vulnerabilidad clásica. Si un archivo tiene permisos 777 (lectura, escritura y ejecución para todos), cualquier proceso del servidor puede modificarlo.

Los permisos correctos para WordPress son:

Para verificar y corregir desde cPanel: File Manager → selecciona archivos → clic derecho → Change Permissions.

Para hacerlo por SSH (si tienes acceso), desde la raíz de WordPress:

find . -type f -exec chmod 644 {} \;
find . -type d -exec chmod 755 {} \;
chmod 440 wp-config.php

5. Proteger wp-config.php

wp-config.php contiene las credenciales de la base de datos y las llaves secretas de WordPress. Es el archivo más crítico.

Agrega esto al .htaccess para bloquear acceso directo:

# Proteger wp-config.php
<Files wp-config.php>
  Order Allow,Deny
  Deny from all
</Files>

También puedes mover wp-config.php un nivel arriba del directorio public_html. WordPress lo encuentra automáticamente ahí, pero los scripts que buscan en la raíz del sitio no.

6. Ocultar la versión de WordPress

El código fuente de los sitios WordPress incluye por defecto la versión instalada. Los atacantes usan esa información para buscar vulnerabilidades específicas de esa versión.

Agrega este código en el archivo functions.php de tu tema hijo:

// Ocultar versión de WordPress
remove_action('wp_head', 'wp_generator');

También desactiva la versión en el feed RSS y en los metadatos. El plugin iThemes Security tiene una opción específica para esto.

7. Limitar intentos de login

Sin límite de intentos, un bot puede probar miles de contraseñas sin ser bloqueado. Con un límite activo, después de 3-5 intentos fallidos la IP queda bloqueada por un período determinado.

Plugin recomendado: Limit Login Attempts Reloaded (gratuito).

Ajuste recomendado: 3 intentos antes de bloquear, bloqueo de 20 minutos, 4 bloqueos antes de bloqueo extendido de 24 horas.

Si usas Wordfence, este incluye protección de fuerza bruta sin necesitar un plugin adicional.

8. Plugin de seguridad: Wordfence o iThemes Security

Para centralizar varias de estas configuraciones, un plugin de seguridad tiene sentido.

Wordfence es la opción más completa en plan gratuito para WordPress en Chile. Incluye firewall de aplicación web (WAF) que bloquea peticiones maliciosas antes de que lleguen a WordPress.

Importante: no instales más de un plugin de seguridad activo simultáneamente. Pueden conflictuarse.

9. Revisar usuarios y contraseñas

Antes de hacer cualquier otra cosa, revisa:

• Que no exista el usuario admin (es el primero que prueban los bots). Si existe, crea un nuevo administrador con otro nombre y elimina el usuario admin;
• Que todos los administradores tengan contraseñas de al menos 16 caracteres con letras, números y símbolos;
• Que no haya usuarios con roles de Editor o Administrador que ya no trabajan contigo.

WordPress genera contraseñas seguras automáticamente. Úsalas.

10. Deshabilitar edición de archivos desde el panel

WordPress permite editar los archivos del tema directamente desde Apariencia → Editor de temas. Si un atacante obtiene acceso al panel, puede inyectar código malicioso desde ahí.

Desactiva esta función agregando en wp-config.php:

define( 'DISALLOW_FILE_EDIT', true );

Esto no afecta nada del funcionamiento normal del sitio. Solo elimina la opción de editar código desde el panel.

Checklist de hardening rápido

• [ ] URL de wp-admin cambiada con WPS Hide Login;
• [ ] XML-RPC bloqueado en .htaccess;
• [ ] 2FA activo para administradores;
• [ ] Permisos 644/755 verificados (wp-config.php en 440);
• [ ] wp-config.php protegido en .htaccess;
• [ ] Versión de WordPress ocultada;
• [ ] Límite de intentos de login activo;
• [ ] Plugin de seguridad (Wordfence) instalado y configurado;
• [ ] Usuario admin eliminado o renombrado;
• [ ] Edición de archivos deshabilitada (DISALLOW_FILE_EDIT).

Preguntas frecuentes

¿Tengo que hacer todo esto si mi hosting tiene seguridad incluida? El hosting protege la infraestructura del servidor. Esto es distinto: son configuraciones internas de WordPress que el hosting no puede hacer por ti. Las dos capas son complementarias.

¿Wordfence gratuito es suficiente? Para la mayoría de sitios de pymes, sí. La diferencia con la versión premium es principalmente la velocidad de actualización de las reglas del firewall (en tiempo real vs. 30 días de retraso). Para sitios de alto valor, la versión premium tiene sentido.

¿Cambiar la URL de login afecta el acceso desde dispositivos móviles? Solo si tienes apps que apuntan a la URL antigua. Para acceso manual desde el navegador, simplemente bookmarks la nueva URL.

¿Puedo aplicar este hardening en un sitio que ya está publicado? Sí, todos estos pasos son seguros de aplicar en sitios en producción. Haz un backup completo antes, por precaución.

¿Qué hago si mi sitio ya fue hackeado? El hardening es preventivo, no remedial. Si el sitio ya tiene malware, limpiarlo es otro proceso: escaneo con Wordfence o Sucuri, revisión de archivos modificados, cambio de todas las contraseñas y revisión del servidor con tu hosting. Elevocloud puede ayudarte si tu sitio está en nuestros planes de hosting.