Endurecer WordPress en 2026 — la checklist que aplicamos en sitios de clientes
19 de mayo de 2026 · 1 min de lectura · por Sudhanshu K.
La mayoría de los artículos «Top 50 trucos de seguridad de WordPress» son ruido. Listan «usa una contraseña fuerte» junto a controles realmente útiles, y el lector no tiene cómo distinguir qué importa.
Esta es la checklist que ejecutamos en cada nuevo sitio WordPress que entra en hosting gestionado. Cada ítem está aquí porque hemos visto el ataque que previene aterrizar en un cliente real en los últimos 18 meses. Ejecute los controles de esta lista y defenderá aproximadamente el 95 % de lo que llega a los orígenes WordPress.
La pasada de hardening de wp-config
define('DISALLOW_FILE_EDIT', true);
define('DISALLOW_FILE_MODS', true);
define('WP_AUTO_UPDATE_CORE', 'minor');
define('FORCE_SSL_ADMIN', true);
define('WP_DEBUG', false);Los dos controles de mayor impacto: DISALLOW_FILE_EDIT elimina el editor de tema/plugin del dashboard, así que un admin comprometido no puede dejar una webshell por la UI. DISALLOW_FILE_MODS bloquea por completo las instalaciones de plugins/temas — lo correcto para sitios cuyos despliegues van por CI.
El artículo completo cubre:
- Los permisos del sistema de ficheros y el montaje
noexecenwp-content/uploadsque neutraliza la mayoría de webshells - Deshabilitar XML-RPC (o rate-limit) — el amplificador de fuerza bruta
system.multicall - Endpoints de la REST API que filtran nombres de usuario, y cómo bloquearlos limpiamente
- Jails de Fail2ban que de verdad cuentan POST fallidos a
wp-login.php - Aplicación obligatoria de 2FA (TOTP mínimo, WebAuthn para equipos pequeños)
- File-integrity monitoring con AIDE/Tripwire como red de seguridad post-compromiso
- Allowlisting de plugins y temas — el problema del plugin abandonado
Entregamos este baseline en cada instalación WordPress gestionada.
Artículo completo disponible
Leer el artículo completo