HOLA!
Preguntas frecuentes
Gestión de WordPress
Asegurar un sitio en WordPress para evitar ataques de fuerza bruta e inyección de código malicioso
WordPress es un excelente CMS (siglas en inglés que significan Sistema de Gestión de Contenidos) para crear sitios web de gran calidad y fáciles de actualizar.
Pero al ser tan popular a nivel mundial, está expuesto constantemente al ataque de hackers que se dedican a buscar fallas de seguridad que permitan inyectar código malicioso para realizar acciones de spam y pishing.
Cualquier sitio basado en WordPress es plausible de ser atacado, ya sea la web de un emprendimiento familiar, un pequeño negocio o una gran empresa.
WordPress, al igual que Joomla, Drupal y otros CMS similares, son desarrollos hechos por empresas independientes, cuentan con sus respectivas actualizaciones y requieren un seguimiento de seguridad periódico.
Como empresa proveedora de alojamiento web, Webhosting Argentina no tiene forma de monitorear cada uno de los sitios alojados en sus servidores para ver si cuentan con las actualizaciones correspondientes o si están preparados para soportar ataques de "fuerza bruta", ya que cada cliente es responsable de la instalación, gestión y mantenimiento de sus contenidos y plataformas. Es decir que si utilizás aplicaciones obsoletas, vulnerables o desactualizadas, es probable que el sitio web sea atacado en algún momento. Inclusive contando con todas las actualizaciones al día, es necesario implementar medidas de seguridad extra.
Desde Webhosting Argentina tenemos la responsabilidad de mantener la seguridad a nivel servidor, evitando ataques que puedan afectar la performance global del equipo. Está comprobado que este tipo de ataques no son una falla de seguridad a nivel servidor sino que se trata de una vulnerabilidad propia de cada CMS.
Asegurar un sitio basado en WordPress
Antes de empezar, es importante revisar las recomendaciones de seguridad sugeridas por el propio desarrollador en el artículo Reforzando la seguridad de WordPress.
-
Durante la instalación cambia todo lo que venga por defecto. Nunca uses Admin como nombre de usuario, esto es lo primero que los hackers buscan para atacar. Tampoco uses el prefijo por defecto para las tablas de la base de datos.
-
Utilizá contraseñas seguras, de 15 a 20 caracteres combinando letras mayúsculas, minúsculas, números y otros signos. Utilizá un gestor de contraseñas como Bitwarden (gratuito) o 1Password para guardarlas de forma segura. Toma como rutina cambiar la contraseña de WordPress regularmente.
-
Accedé al servidor con un programa FTP y asigna permisos CHMOD 600 a los archivos wp-config.php y wp-settings.php para evitar que sean editables por terceros.
-
Deshabilita la edición de archivos desde el panel de WordPress agregando la siguiente línea en el archivo wp-config.php:
define('DISALLOW_FILE_EDIT', true);
Esto evita que, en caso de que alguien logre acceder al área de administración, pueda modificar los archivos de temas y plugins directamente desde el navegador.
-
Oculta la versión de WordPress para dificultar que los bots identifiquen vulnerabilidades específicas de una versión. Agregá la siguiente línea en el archivo functions.php de tu tema:
remove_action('wp_head', 'wp_generator');
-
Protege tu WordPress con algún plugin de seguridad como Solid Security (anteriormente iThemes Security) o Wordfence Security, ambos de comprobada eficiencia. Luego de instalar un plugin de seguridad deberás tomarte el tiempo necesario para configurarlo de forma adecuada y así asegurar tu WordPress al máximo posible.
-
Activá la autenticación de dos factores (2FA) en el acceso al panel de administración de WordPress. Plugins como WP 2FA o Two-Factor lo implementan de forma sencilla. Con 2FA activo, incluso si alguien obtiene tu contraseña, no podrá acceder al panel sin el código adicional generado en tu dispositivo.
-
Desactivá el archivo xmlrpc.php para evitar ataques de fuerza bruta o inyección de código agregando las siguientes líneas en el archivo .htaccess ubicado en la carpeta httpdocs o public_html (según corresponda):
<Files xmlrpc.php>
Require all denied
</Files>En caso de que tu sitio deje de funcionar luego de bloquear el archivo xmlrpc.php vía .htaccess sugerimos descargar el plugin Disable XML-RPC-API, el cual permite desactivar determinadas funciones dependientes del formato XMLRPC y ofrece diversas capas de seguridad extra.
-
Asegura tu WordPress contra ataques de fuerza bruta usando algún plugin como Limit Login Attempts Reloaded o Login Lockdown.
-
Bloqueá la ejecución de PHP en la carpeta de uploads. Es una de las vías más utilizadas por los atacantes para instalar archivos maliciosos disfrazados de imágenes. Creá un archivo .htaccess dentro de la carpeta wp-content/uploads/ con el siguiente contenido:
<Files *.php>
Require all denied
</Files> Descargá e instalá plugins solamente desde el Repositorio oficial de WordPress. No instales plugins de origen dudoso o que no hayan recibido actualizaciones por más de un año. Tampoco instales más plugins de los que realmente necesites.
Descargá e instalá temas solamente desde sitios de absoluta confianza, como el Repositorio oficial de WordPress o desarrolladores fiables como Elegant Themes o ThemeForest.
Si no necesitás que los usuarios se registren en tu sitio, desactivá la opción de registro.
-
Si no necesitás que los usuarios dejen comentarios en tu sitio, desactivá la opción de comentarios. En caso de que los comentarios deban estar activados, utilizá el plugin Disable Comments para controlar el spam en los mensajes.
-
Utilizá alguna herramienta de CAPTCHA en todos los formularios del sitio para evitar el ataque de robots spammers.
-
Realizá copias de seguridad completas cada vez que termines de actualizar los contenidos del sitio para tener un backup de respaldo ante posibles ataques. En caso de utilizar panel de control Plesk, revisá este instructivo para hacer un backup del sitio y la base de datos.
-
Es fundamental mantener siempre actualizada tu plataforma WordPress con la versión más reciente. Lo mismo para los temas, plugins y, de ser posible, la versión de PHP del servidor.

Servicios
Ayuda y Gestión
Webhosting Argentina
Horario de atención: Lunes a Viernes de 9 a 18 hs. Sábados de 10 a 13 hs. (Hora de Buenos Aires, GMT -3)












