Ir al contenido

WordPress bajo ataque: el plan express para blindar tu sitio y no perder ventas

Las caídas por hackeos, SPAM y malware en WordPress cuestan visitas, reputación y ventas. Aquí tienes un plan práctico de seguridad y mantenimiento para estabilizar hoy y prevenir mañana.

Las caídas por hackeos, SPAM y malware en WordPress cuestan visitas, reputación y ventas. Aquí tienes un plan práctico de seguridad y mantenimiento para estabilizar hoy y prevenir mañana

Señales de alerta (actúa si ves 2 o más)

  • Anuncios o pop-ups extraños, redirecciones a sitios desconocidos.
  • Bloques de contenido inyectado (casino, cripto, “viagra”).
  • Aumento de recursos del servidor sin picos de tráfico.
  • Páginas nuevas que tú no creaste o cuentas de usuario sospechosas.
  • Alertas de tu proveedor de hosting o reportes de Google Search Console.

Prioridades en las primeras 72 horas (Plan Express)

Fase 1 — Contener (Día 1)

  1. Poner el sitio en modo mantenimiento temporal.
  2. Sacar backups inmutables (archivos + BD).
  3. Cambiar todas las contraseñas (hosting, WP, SFTP, BD).
  4. Revocar tokens/llaves de API y rotar salts (AUTH_KEY, SECURE_AUTH_KEY, etc.).
  5. Registrar evidencias: fecha, IPs, archivos modificados.

Fase 2 — Limpiar (Día 1–2)

6. Escaneo profundo de archivos y base de datos.

7. Eliminar backdoors (archivos .php fuera de wp-content o con nombres “similares”).

8. Reinstalar núcleo de WordPress desde origen.

9. Sustituir plugins y temas por versiones limpias (descarga oficial).

10. Revisar wp_users, roles y capacidades; eliminar cuentas desconocidas.

Fase 3 — Blindar (Día 2–3)

11. Forzar HTTPS y seguridad de cabeceras (HSTS, X-Frame-Options, CSP).

12. WAF/CDN delante del sitio (filtrado de bots, rate-limit, geobloqueo si aplica).

13. Endurecer wp-config.php: DISALLOW_FILE_EDIT, claves únicas, prefijo de tablas.

14. Desactivar XML-RPC, limitar intentos de login y activar 2FA.

15. Permisos mínimos en archivos/carpetas, deslistar directorios y deshabilitar ejecución en uploads.

Hardening continuo (lo que mantiene sano tu WordPress)

  • Actualizaciones controladas: core, plugins y temas con pruebas en staging.
  • Inventario trimestral de plugins: eliminar los inactivos, evitar duplicados de función.
  • Monitoreo 24/7: uptime, cambios en archivos, errores 4xx/5xx, tráfico anómalo.
  • Backups 3-2-1: 3 copias, 2 medios distintos, 1 fuera de línea; retención por 30–90 días.
  • Listas de control de acceso: mínimos privilegios por rol, usuarios compartidos prohibidos.
  • Revisión SEO post-incidente: sitemaps limpios, indexación de URLs correctas y remoción de basura.

WooCommerce y sitios con transacciones (extra)

  • Modo seguro de pagos: verificar integridad de plugins de pago y claves privadas.
  • Reconciliación: cotejar pedidos entre WooCommerce y pasarela.
  • Plan B: página de “Continuidad de Ventas” estática si la tienda cae (ofertas, WhatsApp, pago manual).

Errores comunes (evítalos)

  • “Instalar más plugins de seguridad” sin gobernanza: menos es más.
  • Actualizar en producción sin staging.
  • Confiar en backups del hosting sin probar restauraciones reales.
  • Dejar usuarios admin sin 2FA o con correos genéricos tipo info@….
  • Permitir edición de archivos desde el panel de WP.

Métricas que debes vigilar

  • Tasa de disponibilidad (objetivo ≥ 99.9%).
  • Tiempo a detección (objetivo < 24 h) y tiempo a remediación (objetivo < 48–72 h).
  • Velocidad tras el hardening: TTFB, LCP e INP estables.
  • Índice de higiene: nº de plugins activos, % desactualizados, usuarios con 2FA.
  • SEO: impresiones vs. clics y URLs válidas en sitemaps.

Checklist operativo (marca ✔️)

  •  Backups inmutables y prueba de restauración.
  •  Núcleo, plugins y temas reinstalados desde fuente oficial.
  •  WAF/CDN activo y reglas personalizadas.
  •  2FA en cuentas admin y límites de login.
  •  XML-RPC deshabilitado y REST restringida si no se usa.
  •  Inventario y limpieza de plugins.
  •  Monitoreo y alertas en tiempo real.
  •  Auditoría SEO post-incidente.

Roadmap de mantenimiento (30/60/90 días)

  • Día 0–7: Contención, limpieza, hardening base, monitoreo.
  • Día 8–30: Staging, calendario de actualizaciones, pruebas automáticas básicas.
  • Día 31–60: Auditoría de rendimiento (INP/LCP), reducción de JS/CSS, cache a nivel CDN.
  • Día 61–90: Simulacro de recuperación ante desastres y revisión de políticas de acceso.

¿Tu sitio WordPress necesita estabilizarse y quedar protegido ya

En www.SiteSupremacy.com ejecutamos un Plan Express de Seguridad: limpieza, hardening, WAF/CDN, copias 3-2-1, 2FA, monitoreo 24/7 y staging para actualizaciones sin riesgo.

Escríbenos hoy y solicita tu Paquete de Seguridad + Mantenimiento Mensual.

¡Empieza hoy!

José Mario Rivera Carranza 16 de septiembre de 2025
Compartir
Archivar
LFPDPPP y cookies en 2025: guía práctica para tu sitio y eCommerce
Cómo cumplir con avisos de privacidad, consentimiento de cookies y derechos ARCO sin frenar tus conversiones.