La seguridad en WordPress es fundamental para proteger tu sitio de ataques. Aquí te explico los errores más comunes y cómo solucionarlos.
No cambiar el prefijo de la base de datos
WordPress usa por defecto el prefijo wp_, lo que facilita ataques SQL Injection. Cambia el prefijo en wp-config.php:
phpCopiar código$table_prefix = 'secure_';
También puedes hacerlo con un plugin como WP-DBManager.
Usar “admin” como usuario
Si usas “admin” como usuario, los hackers tienen la mitad del trabajo hecho. Cámbialo con este comando en la base de datos:
sqlCopiar códigoUPDATE wp_users SET user_login = 'nuevo_admin' WHERE user_login = 'admin';
No proteger el archivo wp-config.php
El archivo wp-config.php contiene datos sensibles. Agrega estas líneas en .htaccess para evitar accesos no autorizados:
apacheCopiar código<Files wp-config.php>
order allow,deny
deny from all
</Files>
No limitar intentos de inicio de sesión
Para evitar ataques de fuerza bruta, puedes limitar intentos de login agregando este código en functions.php:
phpCopiar códigofunction limitar_intentos_login() {
$intentos = 5; // Número de intentos permitidos
if (isset($_SESSION['intentos'])) {
$_SESSION['intentos']++;
if ($_SESSION['intentos'] > $intentos) {
wp_die('Demasiados intentos fallidos. Inténtalo más tarde.');
}
} else {
$_SESSION['intentos'] = 1;
}
}
add_action('wp_login_failed', 'limitar_intentos_login'); 
