Checklist de seguridad básica para tu WordPress en 2026

Tienes una web en WordPress. Funciona, se ve bien y tus clientes la visitan. Pero ¿sabes si está protegida? La mayoría de los propietarios de webs en WordPress no lo saben con certeza, y esa incertidumbre tiene consecuencias reales.

Este checklist no es para técnicos. Es para ti: el autónomo, el responsable de comunicación de una pyme, o el dueño de un negocio que gestiona su web sin demasiados conocimientos de informática. Léelo, marca lo que tienes y presta atención a lo que no.

1. Versión de WordPress actualizada

El primer punto del checklist es el más básico y el más ignorado. Entra en tu panel de administración de WordPress y mira si hay una notificación de actualización disponible. Si la hay, es una señal de que tu instalación tiene vulnerabilidades conocidas que ya están documentadas públicamente —y que los atacantes también conocen.

WordPress publica actualizaciones de seguridad con frecuencia. No son opcionales.

Estado: tienes que tenerlo al día. Si no lo está, es una prioridad.

2. Todos los plugins actualizados

Ve a la sección de plugins de tu panel y comprueba cuántos tienen actualizaciones pendientes. Es habitual encontrar cinco, diez o incluso veinte plugins sin actualizar en webs que llevan meses sin revisión.

Cada plugin desactualizado es una potencial puerta de entrada. Y si además tienes plugins que instalaste para probar algo y nunca más usaste, elimínalos directamente. Un plugin inactivo sigue siendo código en tu servidor.

Estado: revisa esto ahora mismo. No lo dejes para mañana.

3. Plantilla o tema actualizado

El tema visual de tu web también necesita actualizaciones. Muchos propietarios actualizan WordPress y los plugins pero olvidan el tema, especialmente si usan temas premium de terceros.

Comprueba también si tienes temas instalados que no estás usando. Al igual que con los plugins, los temas inactivos pueden contener vulnerabilidades que no por estar desactivados dejan de ser explotables.

Estado: un solo tema activo, actualizado. Los demás, eliminados.

4. Contraseña del administrador segura

¿Tu contraseña de administrador de WordPress es fácil de recordar? Si la respuesta es sí, probablemente no sea suficientemente segura. Las contraseñas cortas, que incluyen tu nombre, el nombre del negocio o fechas reconocibles, son las primeras que prueban los ataques automatizados.

Una contraseña segura tiene al menos 16 caracteres, combina letras mayúsculas y minúsculas, números y símbolos, y no tiene ningún significado reconocible. Si te parece difícil de recordar, usa un gestor de contraseñas: es la herramienta más infrautilizada en la seguridad digital de las pymes.

Estado: cámbiala si no cumple estos criterios. No hay excusa para no hacerlo.

5. Nombre de usuario diferente a “admin”

La gran mayoría de ataques automatizados contra WordPress prueban primero con el usuario “admin” porque era el nombre por defecto en versiones antiguas. Si tu usuario administrador todavía se llama “admin”, estás facilitando la mitad del trabajo a quien quiera entrar.

Crea un nuevo usuario administrador con un nombre diferente, transfiere el contenido y elimina el usuario “admin” original.

Estado: si todavía usas “admin”, cámbialo hoy.

6. Autenticación en dos pasos activada

La autenticación en dos pasos —también llamada verificación en dos factores o 2FA— añade una capa de seguridad adicional al acceso a tu panel. Aunque alguien consiga tu contraseña, necesitaría también un código temporal que llega a tu móvil para entrar.

Hay varios plugins gratuitos que implementan esta función en WordPress en menos de diez minutos. Es una de las medidas de seguridad con mejor relación esfuerzo/protección que existen.

Estado: si no lo tienes, es una carencia importante que resolver.

7. Copias de seguridad automáticas y externas

¿Cuándo fue la última vez que hiciste una copia de seguridad de tu web? Si no lo sabes con exactitud, probablemente llevas demasiado tiempo sin hacerla.

Una copia de seguridad solo es útil si está actualizada, si es completa (base de datos y archivos) y si está almacenada en un lugar diferente al servidor donde está tu web. Si tu servidor sufre un problema y la copia está en el mismo servidor, no sirve de nada.

Configura copias automáticas diarias o semanales según la frecuencia con que actualizas tu web, y verifica periódicamente que se están haciendo correctamente.

Estado: sin copia de seguridad reciente y externa, todo lo demás da igual.

8. Acceso al panel de administración limitado

Por defecto, el panel de administración de WordPress es accesible desde cualquier parte del mundo. Eso significa que cualquier persona puede intentar acceder a él, y los sistemas automatizados lo hacen continuamente.

Hay formas de limitar ese acceso: ocultar la URL de acceso, bloquear intentos de login fallidos repetidos, o restringir el acceso por dirección IP si siempre accedes desde el mismo lugar.

Esto no es sencillo de configurar sin conocimientos técnicos, pero un profesional puede hacerlo rápidamente y reduce de forma drástica la exposición de tu panel.

Estado: si no tienes ninguna de estas medidas, tu panel está expuesto innecesariamente.

9. Certificado SSL activo

Comprueba que tu web carga en https:// y no en http://. El candado en la barra del navegador indica que la conexión está cifrada. Si no lo tienes, cualquier dato que tus visitantes introduzcan en formularios puede ser interceptado, y Google penaliza las webs sin SSL en el posicionamiento.

Hoy en día, la mayoría de hostings incluyen SSL gratuito. Si el tuyo no lo tiene activado, es un problema que se resuelve en minutos.

Estado: verifica la URL de tu web ahora mismo.

10. Formulario de contacto con protección anti-spam

Los formularios sin protección son una puerta de entrada para spam, pero también para intentos de inyección de código malicioso. Si tu formulario de contacto no tiene ningún tipo de verificación, estás recibiendo todo lo que llegue.

Existen soluciones sencillas y gratuitas para proteger formularios en WordPress, pero la configuración correcta depende del plugin que estés usando y de tu instalación concreta.

Estado: si recibes spam por formulario, es una señal de que algo falta.

Siguiente paso

Si al revisar esta lista has encontrado más de tres puntos sin marcar, tu web necesita atención. En SeguridadWeb hacemos auditorías de seguridad específicas para webs WordPress de autónomos y pequeñas empresas. Te decimos exactamente qué tienes, qué te falta y cómo lo corregimos. Sin tecnicismos, sin sorpresas. Pídenos tu revisión gratuita.