No necesitas ser experto para reducir tu riesgo a la mitad. Estos diez pasos, ordenados por impacto, blindan tu WordPress en una tarde.
Lo esencial (hazlo hoy)
- Contraseñas únicas y fuertes para admin, hosting y base de datos. Usa un gestor de contraseñas.
- Activa 2FA en todas las cuentas de administrador. Es la medida con mejor relación esfuerzo/protección.
- Copias de seguridad automáticas y, sobre todo, prueba que sabes restaurarlas.
- Actualiza núcleo, plugins y temas. Elimina lo que no uses: cada plugin inactivo sigue siendo superficie de ataque.
El siguiente nivel
- Limita los intentos de acceso y oculta o protege
wp-login.phpfrente a la fuerza bruta. - Permisos de archivo correctos (típicamente 644 para archivos, 755 para carpetas) y
wp-config.phpfuera del alcance público. - Desactiva la edición de archivos desde el panel (
DISALLOW_FILE_EDIT). - HTTPS en todo el sitio y cabeceras de seguridad (CSP, HSTS).
Defensa real
- Un WAF y un firewall de queries que bloqueen inyecciones y subidas maliciosas antes de que lleguen a la base de datos.
- Monitorización y análisis forense que detecte cambios sospechosos y te avise antes de que el problema crezca.
Los cuatro primeros pasos eliminan la mayoría de ataques automatizados. Los seis siguientes te protegen de los serios.
Los dos últimos pasos, en un clic
Los puntos 9 y 10 son justo lo que más cuesta montar a mano. Sentinel los trae de serie —WAF, firewall de queries, escáner forense, cuarentena y monitorización— y se instala en menos de cinco minutos. Blinda la parte difícil sin tocar una línea de configuración.
