logo-manteniment-WP-W
Hablemos

Els 7 errors que fan que una web WordPress sigui fàcil d’hackejar

Entradeta

Una web WordPress no cau hackejada d’un dia per l’altre. Normalment és la suma de petits descuits que, junts, obren la porta a atacants. El pitjor és que molts d’aquests errors són habituals i fàcils d’evitar si els coneixes. En aquest article repassarem els 7 errors més comuns que posen en risc una web i què pots fer avui mateix per solucionar-los.

TL;DR — Els errors més freqüents

  • Contrasenyes febles i usuaris sense control
  • Plugins i temes obsolets o abandonats
  • No tenir còpies de seguretat fiables
  • Ignorar les actualitzacions de WordPress i PHP
  • Formularis sense cap mesura anti-spam o validació
  • Hosting insegur o mal configurat
  • Pensar que “a mi no em passarà” i no monitoritzar la web

1. Contrasenyes febles i usuaris sense control

Un dels atacs més senzills que encara funciona és el brute force: provar combinacions fins encertar una contrasenya. Si el teu usuari és “admin” i la clau és “123456”, no calen hackers russos: qualsevol script automàtic ho trenca en minuts.

Què fer:

  • Oblida’t d’“admin” com a nom d’usuari
  • Contrasenyes llargues i úniques (gestor de contrasenyes)
  • Activa l’autenticació en dos passos (2FA)
  • Revisa la llista d’usuaris: elimina editors o col·laboradors antics

Cas real: un client mantenia oberts accessos antics de proveïdors. Un d’ells havia estat hackejat i l’atacant va aprofitar el seu usuari. Amb 2FA i neteja d’usuaris, problema resolt.

2. Plugins i temes obsolets o abandonats

Cada plugin és una porta al teu WordPress. Si el desenvolupador deixa d’actualitzar-lo, es converteix en un forat obert.

Què fer:

  • Mantén només els plugins necessaris
  • Abans d’instal·lar-ne un, mira quan s’ha actualitzat per última vegada
  • Elimina temes que no facis servir (només deixa el principal i un “default” de WordPress)

Exemple pràctic: un plugin de galeria obsolet va deixar al descobert més de 200.000 webs el 2021. El simple fet d’haver-lo eliminat a temps hauria evitat la vulnerabilitat.

3. No tenir còpies de seguretat fiables

La seguretat absoluta no existeix. Pots fer-ho tot bé i que, per una vulnerabilitat desconeguda, entrin a la teva web. Sense còpies, el desastre és total.

Què fer:

  • Còpies automàtiques cada dia o setmanals segons el volum de canvis
  • Desa-les fora del servidor principal (Google Drive, Dropbox, S3…)
  • Prova una restauració cada 2–3 mesos

Idea clau: una còpia que no s’ha provat és com un paraigua foradat: et penses que et salvarà, però el dia que plou et mullaràs igual.

4. Ignorar les actualitzacions de WordPress i PHP

Molts atacs es basen en vulnerabilitats ja conegudes i corregides. Si no actualitzes, és com deixar la porta oberta de bat a bat.

Què fer:

  • WordPress: sempre en la última versió estable
  • Plugins i temes: actualitzats setmanalment
  • PHP: evita versions antigues (7.3 i anteriors ja no reben suport)

Cas habitual: he vist webs que encara funcionen amb WordPress 4.x. A més de ser lentes, són un caramel pels atacants.

5. Formularis sense cap mesura anti-spam o validació

Un formulari sense protecció pot ser la porta d’entrada a spam massiu o, pitjor encara, a injeccions de codi.

Què fer:

  • Activa reCAPTCHA v3 o similar
  • Assegura’t que els camps validen correctament el contingut
  • Desa les dades en entorns segurs (no en text pla per correu)

Extra: molts atacs comencen amb un formulari senzill de contacte. Són proves per veure si hi ha forats.

6. Hosting insegur o mal configurat

Un bon hosting és més de la meitat de la seguretat. Servidors antiquats, sense firewall ni actualitzacions, deixen exposades vulnerabilitats crítiques.

Què fer:

  • Tria un hosting amb SSL gratuït, firewall i actualitzacions constants
  • Activa sempre el https i força redireccions
  • Revisa la política de còpies del proveïdor: molts només guarden 1 o 2 dies, insuficient

Consell pràctic: si el teu hosting no ofereix mínim SSL i còpies externes, és moment de canviar.

7. Pensar que “a mi no em passarà”

Aquest és l’error més perillós: la inacció. Moltes webs no apliquen mesures bàsiques per la falsa sensació que “ningú em coneix, no sóc un banc”.

La realitat: els atacs solen ser automatitzats, no personals. Els bots escanegen milions de webs buscant forats coneguts. Si la teva n’hi cau, et pot tocar.

Què fer:

  • Implementa monitoratge d’uptime i alertes de seguretat
  • Rep informes mensuals de l’estat del WordPress
  • Pensa que la seguretat és un procés, no una acció puntual

Errors més comuns en resum

  • Contrasenyes simples o compartides
  • Plugins i temes caducats
  • No tenir còpies provades
  • Versions antigues de WordPress i PHP
  • Formularis oberts sense protecció
  • Hosting que no ofereix garanties bàsiques
  • Pensar que el risc és nul

Punts clau

Evitar un hackeig no depèn de fer grans inversions, sinó de no caure en els 7 errors més comuns. Amb contrasenyes fortes, actualitzacions regulars, còpies fiables i un hosting segur, redueixes més del 90% dels riscos. I si vols estar tranquil del tot, deixa que un servei de manteniment especialitzat vetlli per la teva web.

Et pot interessar...

Oscar Botella

Consultor SEO, especialista en WordPress i gerent de l’agència SEO Market.

Articles destacats

Urgència amb la teva web WordPress?

Omple el formulari i un tècnic es posarà en contacte amb tu el més aviat possible.

Informació sobre protecció de dades

El responsable del tractament és Òscar Botella Mejias. Les dades seran utilitzades únicament per gestionar la teva sol·licitud de suport tècnic i manteniment web. Pots exercir els teus drets d’accés, rectificació i supressió, així com altres drets, segons s’indica a la nostra Política de privacitat.

*Resposta prioritària. Recorda: si no recuperem la teva web, no pagues res.