logo-manteniment-WP-W
Hablemos

Los 7 errores que hacen que una web WordPress sea fácil de hackear

Entradilla

Una web WordPress no se hackea de un día para otro. Normalmente es la suma de pequeños descuidos que, juntos, abren la puerta a atacantes. Lo peor es que muchos de estos errores son habituales y fáciles de evitar si los conoces. En este artículo repasaremos los 7 errores más comunes que ponen en riesgo una web y qué puedes hacer hoy mismo para solucionarlos.

TL;DR — Los errores más frecuentes

Contrasñas débiles y usuarios sin control
Plugins y temas obsoletos o abandonados
No tener copias de seguridad fiables
Ignorar las actualizaciones de WordPress y PHP
Formularios sin ninguna medida anti-spam o validación
Hosting inseguro o mal configurado
Pensar que “a mí no me pasará” y no monitorizar la web

1. Contraseñas débiles y usuarios sin control

Uno de los ataques más sencillos que aún funciona es el brute force: probar combinaciones hasta acertar una contraseña. Si tu usuario es “admin” y la clave es “123456”, no hacen falta hackers rusos: cualquier script automático lo rompe en minutos.

Qué hacer:

  • Olvídate de “admin” como nombre de usuario
  • Contraseñas largas y únicas (gestor de contraseñas)
  • Activa la autenticación en dos pasos (2FA)
  • Revisa la lista de usuarios: elimina editores o colaboradores antiguos

Caso real: un cliente mantenía accesos abiertos de proveedores antiguos. Uno de ellos había sido hackeado y el atacante aprovechó su usuario. Con 2FA y limpieza de usuarios, problema resuelto.

2. Plugins y temas obsoletos o abandonados

Cada plugin es una puerta a tu WordPress. Si el desarrollador deja de actualizarlo, se convierte en un agujero abierto.

Qué hacer:

  • Mantén solo los plugins necesarios
  • Antes de instalar uno, revisa cuándo se actualizó por última vez
  • Elimina temas que no uses (deja solo el principal y un “default” de WordPress)

Ejemplo práctico: un plugin de galería obsoleto dejó al descubierto más de 200.000 webs en 2021. El simple hecho de haberlo eliminado a tiempo habría evitado la vulnerabilidad.

3. No tener copias de seguridad fiables

La seguridad absoluta no existe. Puedes hacerlo todo bien y que, por una vulnerabilidad desconocida, entren a tu web. Sin copias, el desastre es total.

Qué hacer:

  • Copias automáticas cada día o semanales según el volumen de cambios
  • Guárdalas fuera del servidor principal (Google Drive, Dropbox, S3…)
  • Prueba una restauración cada 2–3 meses

Idea clave: una copia que no se ha probado es como un paraguas roto: piensas que te salvará, pero el día que llueve te mojarás igual.

4. Ignorar las actualizaciones de WordPress y PHP

Muchos ataques se basan en vulnerabilidades ya conocidas y corregidas. Si no actualizas, es como dejar la puerta abierta de par en par.

Qué hacer:

  • WordPress: siempre en la última versión estable
  • Plugins y temas: actualizados semanalmente
  • PHP: evita versiones antiguas (7.3 y anteriores ya no tienen soporte)

Caso habitual: he visto webs que todavía funcionan con WordPress 4.x. Además de ser lentas, son un caramelo para los atacantes.

5. Formularios sin ninguna medida anti-spam o validación

Un formulario sin protección puede ser la puerta de entrada a spam masivo o, peor aún, a inyecciones de código.

Qué hacer:

  • Activa reCAPTCHA v3 o similar
  • Asegúrate de que los campos validan correctamente el contenido
  • Guarda los datos en entornos seguros (no en texto plano por correo)

Extra: muchos ataques empiezan con un formulario sencillo de contacto. Son pruebas para ver si hay agujeros.

6. Hosting inseguro o mal configurado

Un buen hosting es más de la mitad de la seguridad. Servidores anticuados, sin firewall ni actualizaciones, dejan expuestas vulnerabilidades críticas.

Qué hacer:

  • Elige un hosting con SSL gratuito, firewall y actualizaciones constantes
  • Activa siempre el https y fuerza redirecciones
  • Revisa la política de copias del proveedor: muchos solo guardan 1 o 2 días, insuficiente

Consejo práctico: si tu hosting no ofrece al menos SSL y copias externas, es momento de cambiar.

7. Pensar que “a mí no me pasará”

Este es el error más peligroso: la inacción. Muchas webs no aplican medidas básicas por la falsa sensación de que “nadie me conoce, no soy un banco”.

La realidad: los ataques suelen ser automatizados, no personales. Los bots escanean millones de webs buscando fallos conocidos. Si la tuya cae en la lista, puede tocarte.

Qué hacer:

  • Implementa monitorización de uptime y alertas de seguridad
  • Recibe informes mensuales del estado de WordPress
  • Piensa que la seguridad es un proceso, no una acción puntual

Errores más comunes en resumen

  • Contraseñas simples o compartidas
  • Plugins y temas caducados
  • No tener copias probadas
  • Versiones antiguas de WordPress y PHP
  • Formularios abiertos sin protección
  • Hosting sin garantías básicas
  • Pensar que el riesgo es nulo

Puntos clave

Evitar un hackeo no depende de grandes inversiones, sino de no caer en los 7 errores más comunes. Con contraseñas fuertes, actualizaciones regulares, copias fiables y un hosting seguro, reduces más del 90% de los riesgos. Y si quieres estar tranquilo del todo, deja que un servicio de mantenimiento especializado cuide de tu web.

Et pot interessar...

Oscar Botella

Consultor SEO, especialista en WordPress i gerent de l’agència SEO Market.

Articles destacats

Urgència amb la teva web WordPress?

Omple el formulari i un tècnic es posarà en contacte amb tu el més aviat possible.

Informació sobre protecció de dades

El responsable del tractament és Òscar Botella Mejias. Les dades seran utilitzades únicament per gestionar la teva sol·licitud de suport tècnic i manteniment web. Pots exercir els teus drets d’accés, rectificació i supressió, així com altres drets, segons s’indica a la nostra Política de privacitat.

*Resposta prioritària. Recorda: si no recuperem la teva web, no pagues res.