Saltar al contenido
(+381) 60 3535 720
Mi cuenta
BeoHosting
BeoHosting
Mi cuentaContacto
(+381) 60 3535 720
 
Seguridad

Cómo proteger WordPress de los ataques de fuerza bruta

BeoHosting Team··8 min read de lectura
Cómo proteger WordPress de los ataques de fuerza bruta

¿Qué es un ataque de fuerza bruta?

Un ataque de fuerza bruta es un método en el que el atacante prueba automáticamente miles de combinaciones de nombre de usuario y contraseña hasta dar con la correcta. Los bots pueden intentar cientos de inicios de sesión por minuto, probando las contraseñas más comunes como «admin123», «password» o «123456». Como WordPress utiliza la página estándar /wp-login.php, los atacantes saben exactamente dónde dirigir el ataque.

Incluso si el atacante no consigue adivinar la contraseña, el enorme volumen de solicitudes puede ralentizar o tumbar tu web. Por eso la protección frente a los ataques de fuerza bruta es doblemente importante: protege tanto tus datos como el rendimiento de tu web.

Cambia el nombre de usuario admin por defecto

Si tu cuenta de WordPress utiliza el nombre de usuario «admin», ya le has dado al atacante la mitad de la información que necesita. Utiliza siempre un nombre de usuario único que no sea fácil de adivinar.

WordPress no permite cambiar el nombre de usuario directamente desde el panel de administración. En su lugar, crea una nueva cuenta con permisos de administrador y un nombre único, y después elimina la antigua cuenta «admin». Al eliminarla, WordPress te preguntará a quién reasignar el contenido de la cuenta antigua: elige la nueva cuenta.

Utiliza contraseñas seguras

Una contraseña segura es la primera línea de defensa. Requisitos mínimos:

  • Mínimo 12 caracteres (idealmente 16 o más)
  • Combinación de mayúsculas y minúsculas, números y caracteres especiales
  • Nunca uses la misma contraseña en varias webs
  • Evita las palabras de diccionario, las fechas de nacimiento y la información personal

Utiliza gestores de contraseñas como Bitwarden o 1Password, que generan y almacenan por ti contraseñas complejas. No necesitas memorizar una contraseña si el gestor la guarda de forma segura.

Autenticación de dos factores (2FA)

La autenticación de dos factores añade una segunda capa de protección que requiere algo que tienes (el teléfono) además de algo que sabes (la contraseña). Aunque un atacante adivine tu contraseña, sin acceso a tu teléfono no podrá iniciar sesión.

Plugins de 2FA recomendados:

  • WP 2FA: un plugin sencillo compatible con Google Authenticator, Authy y códigos por correo electrónico. La versión gratuita cubre las necesidades básicas.
  • Wordfence: además del 2FA, ofrece seguridad completa que incluye firewall, escaneo de malware y monitorización de amenazas en tiempo real.
  • miniOrange: admite varios métodos de autenticación, incluidos SMS, correo electrónico, notificaciones push y llaves físicas.

Asegúrate de generar y guardar los códigos de respaldo en un lugar seguro por si pierdes el acceso a tu teléfono.

Limita los intentos de inicio de sesión

Por defecto, WordPress permite un número ilimitado de intentos de inicio de sesión. Es como dejar la llave puesta en la cerradura y decirle al ladrón «inténtalo cuanto quieras». Limitar los intentos es una de las protecciones más importantes.

Limit Login Attempts Reloaded es el plugin más popular para este fin. Por defecto bloquea la IP tras 4 intentos fallidos durante 20 minutos, y tras bloqueos repetidos amplía el tiempo a 24 horas. Puedes ajustar estos valores según tus necesidades.

En BeoHosting, cPHulk Brute Force Protection es una protección integrada a nivel de servidor que bloquea automáticamente las IP con demasiados inicios de sesión fallidos, proporcionando una capa de protección adicional independiente de los plugins de WordPress.

Cambia la URL de la página de inicio de sesión

La página de inicio de sesión estándar de WordPress siempre está en /wp-login.php o /wp-admin. Cambiar esta URL por algo único (por ejemplo, /mi-acceso) elimina una gran cantidad de ataques automatizados dirigidos a las rutas estándar.

El plugin WPS Hide Login te permite cambiar la URL de inicio de sesión con un solo clic. Es ligero, no modifica los archivos del servidor y es compatible con la mayoría de temas y plugins.

Web Application Firewall (WAF)

Un WAF filtra el tráfico malicioso antes de que llegue a tu web. Puede reconocer y bloquear ataques de fuerza bruta, intentos de inyección SQL, ataques XSS y otras amenazas.

Cloudflare WAF: el plan gratuito ofrece protección básica (consulta la guía de configuración de Cloudflare), mientras que el plan Pro (20 $/mes) añade reglas avanzadas específicas para WordPress.

Firewall de Wordfence: se ejecuta a nivel de la aplicación WordPress y ofrece protección específica para WordPress. La versión gratuita incluye reglas básicas, mientras que la versión premium recibe actualizaciones en tiempo real.

Sucuri: un WAF basado en la nube que protege la web antes de que el tráfico llegue a tu servidor. Especialmente eficaz frente a los ataques DDoS.

Medidas de protección adicionales

Desactiva XML-RPC: XML-RPC es un antiguo protocolo de WordPress que los atacantes pueden aprovechar para los ataques de fuerza bruta. Si no lo utilizas (la mayoría de las webs no lo hacen), desactívalo añadiendo una sola línea a .htaccess o utilizando el plugin Wordfence.

Desactiva la edición de archivos desde el panel de administración: añade define('DISALLOW_FILE_EDIT', true); a wp-config.php para impedir la edición de temas y plugins desde el panel de administración de WordPress. Si un atacante consigue acceso, no podrá inyectar código malicioso directamente.

Actualiza WordPress con regularidad: cada actualización de WordPress, los temas y los plugins corrige fallos de seguridad conocidos. Considera un mantenimiento profesional de WordPress para las actualizaciones automáticas. Activa las actualizaciones automáticas para las versiones menores y actualiza las versiones mayores manualmente de forma periódica.

Utiliza SSL: el cifrado HTTPS garantiza que la contraseña se envíe cifrada entre el navegador y el servidor. Sin SSL, alguien en la misma red podría interceptar tu contraseña. BeoHosting ofrece protección HTTPS gratuita con cada plan de hosting.

Conclusión

Proteger una web WordPress de los ataques de fuerza bruta requiere varias capas de defensa. La combinación de contraseñas seguras, autenticación de dos factores, límites de intentos de inicio de sesión y un firewall proporciona una protección sólida. Ningún método por sí solo es suficiente, pero juntos hacen que tu web sea extremadamente difícil de comprometer. Recuerda: la prevención siempre es más barata que lidiar con las consecuencias de un ataque.

BeoHosting Team

10+ años de experiencia — Especialistas en alojamiento web e infraestructura

  • Web Hosting
  • WordPress Hosting
  • VPS
  • Dedicated Serveri
  • Domeni
  • SSL
  • cPanel
  • LiteSpeed
  • Linux administracija
  • DNS

Última actualización:

Artículos relacionados

Cómo proteger tu web de los ataques DDoS: guía completa

6. avgust 2025.

Certificado SSL: por qué es obligatorio y cómo instalarlo

6. septembar 2025.

Certificado SSL y SEO: por qué HTTPS es obligatorio

9. septembar 2025.
Volver al blogMás de la categoría: Seguridad