Estás en la versión internacional Acceder al sitio de Argentina

Domingo 17 de mayo de 2026

Seguridad en WordPress: qué hacer ante un hackeo y cómo prevenirlo

Vectores comunes (fuerza bruta, plugins desactualizados, inyección SQL), conceptos clave (phishing, XMLRPC, claves SALT) y herramientas (Wordfence) para reforzar tu instalación.

¿Por qué hackean mi web?

  • Notoriedad: grupos que coleccionan webs hackeadas y publican firma en la portada.
  • Phishing: usar tu hosting para alojar páginas que se hacen pasar por bancos, mail, redes.
  • Extorsión: secuestran ecommerces y piden rescate.
  • Robo de datos: tarjetas, mails, contraseñas (que prueban en otros servicios).
  • SEO negativo: insertan enlaces a sitios ilegales o falsificados.

Cómo entran

Plugins, plantillas y core desactualizados

El vector #1. Una vulnerabilidad publicada en un plugin popular abre la puerta a miles de sitios. Mantenerlo todo al día no es opcional.

Fuerza bruta

WordPress, Joomla y Drupal exponen rutas de login conocidas. Si encima la contraseña es débil o el usuario es admin, los bots lo detectan en horas.

Exploits, malware e inyección SQL

El exploit es la fisura; el malware lo aprovecha. Una SQL injection da control total a la base de datos. La protección viene del código (sanitizar entradas), del hosting (WAF) y de mantener actualizado.

Buenas prácticas (resumen)

  • Core, plugins y temas siempre al día. Habilitar auto-updates de seguridad.
  • Usuario admin distinto de "admin" y contraseñas fuertes (gestor de claves).
  • Doble factor (2FA) en wp-admin.
  • Backups automáticos fuera del servidor.
  • Renovar las claves SALT en wp-config.php periódicamente.
  • Bloquear o limitar xmlrpc.php si no usás clientes remotos.
  • HTTPS obligatorio (SSL incluido en nuestros planes).
  • Plugins de seguridad: Wordfence, Sucuri, Jetpack Security.

Phishing

Suplantación de identidad: el atacante se hace pasar por una entidad de confianza para conseguir contraseñas, datos bancarios o claves vía email/mensaje. Si tu hosting fue hackeado, posiblemente lo estén usando como “señuelo” para campañas de phishing — Google detecta esas URL y desindexa todo el dominio.

XMLRPC

xmlrpc.php permite postear remotamente desde Word, apps móviles, y recibir/enviar pingbacks. Si no lo usás, desactivalo o restringilo por .htaccess:

<Files xmlrpc.php>
  Order deny,allow
  Deny from all
</Files>

Claves SALT

WordPress usa hashes con salt para autenticar cookies. Cambiarlos invalida todas las sesiones activas (echa a cualquier intruso conectado). Generá nuevas en la API oficial y reemplazá los valores en wp-config.php.

Wordfence

Plugin gratuito que incorpora firewall, escáner de malware, 2FA y monitoreo de tráfico en tiempo real. Puede comparar tu instalación contra el repositorio oficial y alertar si un archivo del core fue modificado.

Relacionado