Saltar al contenido
>_ITDITDPlataforma de seguridad web

Por framework

Seguridad de WordPress — por qué es atacado y las defensas mínimas

WordPress es el más atacado por su cuota — vía complementos/temas vulnerables, actualizaciones omitidas, administradores débiles y paneles expuestos (wp-admin/xmlrpc). Defensas mínimas: actualizaciones automáticas, complementos mínimos, 2FA y copias de seguridad. Sin pasos de ataque.

Publicado 2026-07-02 Actualizado 2026-07-02 5 min de lectura

Para: cualquiera que gestione un sitio WordPress. Aquí no hay pasos de ataque — solo por qué es atacado y las defensas mínimas. Para el panorama entre frameworks, mira el centro de seguridad por framework.

Por qué es atacado: las entradas son predecibles

Los ataques a WordPress no son magia — la fuerza bruta automatizada sondea un conjunto fijo de debilidades. Conoce las entradas y sabrás dónde cerrar.

① Vulnerabilidades de complementos/temas

Agujeros conocidos en código de terceros. La mayor entrada. Desatendida o abandonada, el agujero sigue abierto.

② Actualizaciones omitidas

Parches del núcleo/complementos sin aplicar. Las herramientas automatizadas atacan los CVE publicados.

③ Administradores débiles/reutilizados

admin + contraseña débil + sin 2FA. Tomados mediante fuerza bruta de inicio de sesión o reutilización de contraseñas filtradas.

④ Superficie de administración expuesta

enumeración de usuarios por wp-admin/xmlrpc/REST. Un trampolín para fuerza bruta o amplificación.

Las principales rutas de intrusión de WordPress. Todas cerrables mediante la operación.

Las defensas mínimas (5 pasos)

Cierra en orden los fallos específicos de WordPress. Cada uno se hace en el panel de administración o en la configuración.

1

Automatiza las actualizaciones (máxima prioridad)

Activa las actualizaciones automáticas del núcleo, complementos y temas. Cerrar las vulnerabilidades conocidas publicadas (CVE) antes de que se ataquen es la mayor defensa individual. Haz una copia de seguridad antes de actualizaciones mayores.
2

Mantén los complementos/temas al mínimo

Para todo lo que no uses, elimina en lugar de desactivar (los archivos sobrantes pueden seguir siendo objetivo). Antes de instalar, comprueba la frecuencia de actualización, la fecha de última actualización y la adopción. Menos extensiones = menor superficie de ataque.
3

Autenticación fuerte (2FA) para administradores

Da a los administradores una contraseña fuerte + autenticación de dos factores. Evita el nombre de usuario admin y mantén los privilegios al mínimo. (→ qué es 2FA)
4

Limita la exposición del panel y los intentos de inicio de sesión

Añade límites de intentos de inicio de sesión, desactiva xmlrpc.php si no lo usas y suprime la enumeración de usuarios de la REST-API. Restringir desde dónde se puede alcanzar el panel de administración es aún mejor.
5

Copias de seguridad y detección de manipulación

Mantén copias de seguridad recuperables, sin conexión/separadas y detección de manipulación de archivos, para que, incluso si te vulneran, puedas restaurar. (→ fundamentos de copias de seguridad)

Común (peligroso)

  • el núcleo y los complementos actualizados a mano, y luego olvidados
  • complementos/temas no usados solo desactivados
  • administrador admin + contraseña débil + sin 2FA
  • intentos de inicio de sesión, xmlrpc, enumeración de usuarios abiertos de par en par

Correcto

  • núcleo/complementos/temas en actualizaciones automáticas
  • extensiones no usadas eliminadas para minimizar
  • administradores con contraseña fuerte + 2FA, privilegio mínimo
  • límites de intentos de inicio de sesión, funciones innecesarias apagadas, copias de seguridad recuperables

La visión de este sitio: gestiona 'las extensiones y el descuido', no el núcleo

Lo que funciona en WordPress no es una configuración llamativa sino la disciplina operativa de «no añadir demasiadas extensiones, no dejarlas desatendidas». Los complementos son cómodos, pero cada uno añade una «responsabilidad de seguir actualizando». El principio de este sitio es el mismo que para cualquier tecnología: minimiza las dependencias (complementos), automatiza las actualizaciones y defiende con autenticación fuerte y copias de seguridad recuperables. Parece específico de WordPress, pero en realidad es la base universal aplicada. Puedes comprobar los CVE de complementos con la consulta de CVE/KEV.

Sigue leyendo

FAQ

Q¿Es peligroso WordPress?
A

El núcleo de WordPress se mantiene de forma activa y no es especialmente vulnerable en sí mismo. Lo peligroso es el uso. Su condición de mayor cuota lo convierte en un objetivo fácil para ataques automatizados, y la mayoría de las intrusiones reales no vienen del núcleo sino de vulnerabilidades de complementos/temas de terceros, actualizaciones omitidas, cuentas de administrador débiles y superficies de administración expuestas. La otra cara: cerrar eso recorta la mayor parte del riesgo.

Q¿Cuántos complementos son demasiados?
A

La regla es 'solo el mínimo que necesites'. Cada complemento amplía la superficie de ataque, y cualquiera que quede sin actualizar o abandonado se convierte en un agujero. Antes de instalar, comprueba la frecuencia de actualización, la adopción y la fecha de última actualización; y todo lo que no uses, elimínalo en lugar de solo desactivarlo (los archivos desactivados pueden seguir siendo objetivo de una vulnerabilidad). Lo mismo vale para los temas.

Q¿Cuál es el mínimo indispensable que debería hacer?
A

(1) Activa las actualizaciones automáticas del núcleo, complementos y temas; (2) elimina complementos/temas no usados para reducir la cantidad; (3) da a las cuentas de administrador una contraseña fuerte y autenticación de dos factores (2FA); (4) limita la exposición de la administración (wp-admin/inicio de sesión) y los intentos de inicio de sesión; (5) mantén copias de seguridad sin conexión recuperables más detección de manipulación. Estas cinco detienen la mayoría de los ataques automatizados.