Lista de seguridad WordPress 2026 — 12 cosas que todo sitio debería tener | Scanthra

Scanthra · 9 min de lectura · Actualizado Mayo de 2026

1. Mantén el núcleo, temas y plugins con actualización automática

WordPress 6.5+ admite actualizaciones automáticas para el núcleo, plugins y temas. Actívalas todas. En wp-config.php establece:

define('WP_AUTO_UPDATE_CORE', true);

Luego en Plugins, haz clic en «Activar actualizaciones automáticas» para cada plugin activo. Sí, incluso los de pago. Una hora de riesgo de regresión por trimestre es mejor que una semana limpiando una redirección inyectada.

2. Elimina cada tema y plugin que no uses

Los plugins inactivos siguen en el disco y siguen siendo analizados por atacantes que hacen fingerprinting de tu sitio. El clásico vector «TimThumb» vivió durante años en temas desactivados. Si no lo usas, elimina el directorio por completo de wp-content/plugins y wp-content/themes.

3. Protege wp-admin con algo

Dos opciones efectivas:

• Lista de IPs permitidas. Si inicias sesión desde una oficina fija o VPN, restringe /wp-admin y /wp-login.php a esas IPs a nivel del servidor web. Cinco líneas de configuración nginx.
• Cambia la URL o añade un segundo factor. Plugins como WPS Hide Login cambian la URL; Two-Factor (del equipo principal de WordPress) añade TOTP. Ambos son gratuitos.

4. Exige contraseñas fuertes y desactiva XML-RPC si no lo usas

WordPress permite reutilizar contraseñas por defecto. Instala Password Policy Manager o similar para exigir longitud + rotación. Luego desactiva xmlrpc.php a menos que lo necesites específicamente (p. ej., para la app de Jetpack):

location = /xmlrpc.php { deny all; return 403; }

5. Añade los seis encabezados de seguridad estándar

HSTS (forzado de HTTPS), CSP (Content Security Policy), X-Frame-Options, X-Content-Type-Options, Referrer-Policy y Permissions-Policy. Todos los informes de Scanthra señalan los que faltan. La forma más rápida: un plan gratuito de Cloudflare + su regla de transformación gestionada de Encabezados de Seguridad, o un plugin como HTTP Headers.

6. Bloquea la edición de archivos desde wp-admin

En wp-config.php:

define('DISALLOW_FILE_EDIT', true);
define('DISALLOW_FILE_MODS', true);

Esto evita que un atacante que roba una cookie de administrador pueda editar un archivo de tema y añadir un webshell.

7. Bloquea la ejecución de PHP en uploads

Un .htaccess en wp-content/uploads:

<FilesMatch "\.(php|phtml|phar)$">
  Require all denied
</FilesMatch>

O el equivalente en nginx. La mayoría de los exploits de «sube tu foto» depositan un archivo PHP disfrazado de imagen. Esta regla elimina por completo esa clase de ataque.

8. Usa un escáner de malware que se ejecute de forma programada

Wordfence gratuito, Sucuri SiteCheck, o el de código abierto WPScan mediante WP-CLI. Programa un escaneo semanal y envía el resultado a tu correo electrónico. Quieres enterarte de una puerta trasera antes que Google.

9. Configura copias de seguridad automáticas fuera del servidor

Una copia de seguridad en el mismo servidor no vale nada tras un compromiso total. Usa UpdraftPlus, BackWPup o el servicio de instantáneas de tu alojamiento para enviar copias de seguridad a S3, Google Drive o BackBlaze diariamente. Prueba la restauración al menos una vez por trimestre — la mayoría de las historias de «tenía copias de seguridad» terminan con «pero nunca intenté restaurarlas».

10. Configura SPF, DKIM y DMARC en tu dominio

Si tu dominio no tiene SPF/DKIM/DMARC (protección del correo), los estafadores pueden suplantar correos como facturacion@tusitio.com. Añade los tres registros DNS (tenemos un explicador aparte para esto) y observa cómo caen tus quejas de phishing y sube la entregabilidad de tu correo electrónico transaccional.

11. Audita tus administradores trimestralmente

En Usuarios → Todos los usuarios, ordena por rol. Cualquier cuenta de Administrador que no haya iniciado sesión en 90 días es un pasivo — contratista antiguo, ex-empleado, cuenta de demo. Bájala a Suscriptor o elimínala. Esta es la causa más frecuente de incidentes WordPress donde «no sabemos cómo entraron».

12. Planifica para NIS2 si gestionas datos de clientes de la UE

La NIS2 (directiva UE de ciberseguridad) ya está en vigor en los 27 Estados miembros mediante transposiciones nacionales (la enmienda polaca en vigor desde el 3 de abril de 2026, la NIS2UmsuCG alemana, la ley de transposición francesa, etc.). Aunque estés por debajo del umbral de «entidad esencial», tus clientes más grandes pueden trasladarte las obligaciones NIS2 contractualmente — y esto aplica tanto si operas dentro de la UE como si vendes a ella desde fuera. Los sitios WordPress que manejan datos personales de la UE deben mantener un registro de incidentes, documentar la cadencia de parches y ejecutar comprobaciones de seguridad periódicas. Un escaneo mensual gratuito con Scanthra es un punto de partida razonable — nuestra guía de preparación para NIS2 explica el resto.

La versión «tarde del domingo» de esta lista

Si tienes dos horas y quieres el máximo retorno: haz los elementos 1, 2, 5, 7 y 10. Esos cinco solos llevan tu sitio de «fácilmente comprometido» a «suficientemente molesto como para que los atacantes sigan adelante».

Cómo ayuda Scanthra con esta lista

Un escaneo de Scanthra cubre los elementos 2 (restos de plugins expuestos), 5 (encabezados de seguridad), 7 (archivos PHP en uploads), 10 (SPF/DKIM/DMARC) y varios otros automáticamente. El informe PDF te indica qué casillas ya estás marcando — y cuáles necesitan atención.