Por framework
Seguridad de WordPress — por qué es atacado y las defensas mínimas
WordPress es el más atacado por su cuota — vía complementos/temas vulnerables, actualizaciones omitidas, administradores débiles y paneles expuestos (wp-admin/xmlrpc). Defensas mínimas: actualizaciones automáticas, complementos mínimos, 2FA y copias de seguridad. Sin pasos de ataque.
Para: cualquiera que gestione un sitio WordPress. Aquí no hay pasos de ataque — solo por qué es atacado y las defensas mínimas. Para el panorama entre frameworks, mira el centro de seguridad por framework.
Por qué es atacado: las entradas son predecibles
Los ataques a WordPress no son magia — la fuerza bruta automatizada sondea un conjunto fijo de debilidades. Conoce las entradas y sabrás dónde cerrar.
① Vulnerabilidades de complementos/temas
Agujeros conocidos en código de terceros. La mayor entrada. Desatendida o abandonada, el agujero sigue abierto.
② Actualizaciones omitidas
Parches del núcleo/complementos sin aplicar. Las herramientas automatizadas atacan los CVE publicados.
③ Administradores débiles/reutilizados
admin + contraseña débil + sin 2FA. Tomados mediante fuerza bruta de inicio de sesión o reutilización de contraseñas filtradas.
④ Superficie de administración expuesta
enumeración de usuarios por wp-admin/xmlrpc/REST. Un trampolín para fuerza bruta o amplificación.
Las defensas mínimas (5 pasos)
Cierra en orden los fallos específicos de WordPress. Cada uno se hace en el panel de administración o en la configuración.
Automatiza las actualizaciones (máxima prioridad)
Mantén los complementos/temas al mínimo
Autenticación fuerte (2FA) para administradores
admin y mantén los privilegios al mínimo. (→ qué es 2FA)Limita la exposición del panel y los intentos de inicio de sesión
xmlrpc.php si no lo usas y suprime la enumeración de usuarios de la REST-API. Restringir desde dónde se puede alcanzar el panel de administración es aún mejor.Copias de seguridad y detección de manipulación
Común (peligroso)
- el núcleo y los complementos actualizados a mano, y luego olvidados
- complementos/temas no usados solo desactivados
- administrador
admin+ contraseña débil + sin 2FA - intentos de inicio de sesión, xmlrpc, enumeración de usuarios abiertos de par en par
Correcto
- núcleo/complementos/temas en actualizaciones automáticas
- extensiones no usadas eliminadas para minimizar
- administradores con contraseña fuerte + 2FA, privilegio mínimo
- límites de intentos de inicio de sesión, funciones innecesarias apagadas, copias de seguridad recuperables
La visión de este sitio: gestiona 'las extensiones y el descuido', no el núcleo
Lo que funciona en WordPress no es una configuración llamativa sino la disciplina operativa de «no añadir demasiadas extensiones, no dejarlas desatendidas». Los complementos son cómodos, pero cada uno añade una «responsabilidad de seguir actualizando». El principio de este sitio es el mismo que para cualquier tecnología: minimiza las dependencias (complementos), automatiza las actualizaciones y defiende con autenticación fuerte y copias de seguridad recuperables. Parece específico de WordPress, pero en realidad es la base universal aplicada. Puedes comprobar los CVE de complementos con la consulta de CVE/KEV.
Sigue leyendo
- Centro: seguridad por framework · seguridad de Laravel
- Base: el manual de respuesta a vulnerabilidades · fundamentos de copias de seguridad
- Autenticación: qué es 2FA · Glosario: qué es el phishing (la principal vía hacia los administradores)
FAQ
Q¿Es peligroso WordPress?
El núcleo de WordPress se mantiene de forma activa y no es especialmente vulnerable en sí mismo. Lo peligroso es el uso. Su condición de mayor cuota lo convierte en un objetivo fácil para ataques automatizados, y la mayoría de las intrusiones reales no vienen del núcleo sino de vulnerabilidades de complementos/temas de terceros, actualizaciones omitidas, cuentas de administrador débiles y superficies de administración expuestas. La otra cara: cerrar eso recorta la mayor parte del riesgo.
Q¿Cuántos complementos son demasiados?
La regla es 'solo el mínimo que necesites'. Cada complemento amplía la superficie de ataque, y cualquiera que quede sin actualizar o abandonado se convierte en un agujero. Antes de instalar, comprueba la frecuencia de actualización, la adopción y la fecha de última actualización; y todo lo que no uses, elimínalo en lugar de solo desactivarlo (los archivos desactivados pueden seguir siendo objetivo de una vulnerabilidad). Lo mismo vale para los temas.
Q¿Cuál es el mínimo indispensable que debería hacer?
(1) Activa las actualizaciones automáticas del núcleo, complementos y temas; (2) elimina complementos/temas no usados para reducir la cantidad; (3) da a las cuentas de administrador una contraseña fuerte y autenticación de dos factores (2FA); (4) limita la exposición de la administración (wp-admin/inicio de sesión) y los intentos de inicio de sesión; (5) mantén copias de seguridad sin conexión recuperables más detección de manipulación. Estas cinco detienen la mayoría de los ataques automatizados.