Checklist de seguridad WordPress antes de una auditoría
16 dic., 2025
11 min lectura

Checklist de seguridad WordPress antes de una auditoría

Checklist de seguridad WordPress antes de una auditoría con pasos claros para revisar accesos, plugins, copias de seguridad, rendimiento y cumplimiento legal.

Índice

Visión general de la checklist de seguridad WordPress

Antes de someter un sitio WordPress a una auditoría de seguridad profesional conviene realizar una revisión previa estructurada. Esta checklist te ayuda a detectar y corregir los problemas más habituales, reducir el tiempo de análisis del auditor y, sobre todo, minimizar el riesgo de incidentes durante el proceso. No sustituye a una auditoría completa, pero sí deja la casa ordenada y documentada.

El enfoque de esta guía es práctico: cada sección incluye puntos de verificación concretos, recomendaciones y notas sobre qué información conviene preparar para el auditor. Siguiendo este recorrido podrás revisar accesos, actualizaciones, plugins, copias de seguridad, servidor, hardening, malware, rendimiento y cumplimiento legal.

Objetivos de la checklist previa a la auditoría

  • Reducir vulnerabilidades evidentes antes de la auditoría.
  • Evitar interrupciones del servicio durante las pruebas.
  • Entregar al auditor información clara y bien organizada.
  • Acelerar la identificación de riesgos realmente críticos.
  • Mejorar la postura de seguridad general del proyecto.

Preparación del entorno antes de la auditoría

Una auditoría de seguridad puede implicar escaneos intensivos, pruebas de intrusión y cambios temporales en la configuración. Preparar el entorno reduce el riesgo de caídas y pérdidas de datos. Es recomendable coordinar con el auditor fechas, alcance y limitaciones técnicas antes de comenzar.

  • Definir el alcance de la auditoría (producción, staging, APIs, panel de administración, etc.).
  • Confirmar con el proveedor de hosting que el tráfico de escaneo no será bloqueado automáticamente.
  • Verificar que existen copias de seguridad recientes y restaurables del sitio y la base de datos.
  • Documentar versiones actuales de WordPress, PHP, servidor web, base de datos y sistemas de caché.
  • Crear, si es posible, un entorno de staging para pruebas menos intrusivas.
  • Establecer una ventana horaria de menor tráfico para las pruebas más agresivas.

Documentación mínima a entregar al auditor

  • Mapa del sitio: dominios, subdominios y entornos (producción, pruebas, desarrollo).
  • Listado de plugins y temas activos, con versiones y procedencia (oficial, premium, desarrollo propio).
  • Diagrama simple de arquitectura: CDN, WAF, balanceadores, servidor de correo, etc.
  • Política de copias de seguridad: frecuencia, retención, ubicación y pruebas de restauración.
  • Contacto técnico responsable durante la auditoría y protocolo de incidencias.

Usuarios, roles y accesos al panel de WordPress

La gestión de usuarios y accesos es uno de los puntos más sensibles de la seguridad en WordPress. Antes de una auditoría conviene revisar quién tiene acceso, con qué permisos y cómo se autentica. Cuentas innecesarias o con privilegios excesivos son un vector de ataque frecuente.

  • Revisar el listado completo de usuarios en Usuarios > Todos los usuarios.
  • Eliminar cuentas antiguas, de pruebas o de usuarios que ya no colaboran en el proyecto.
  • Reducir permisos: evitar que perfiles que no lo necesitan sean administradores.
  • Comprobar que no existe ningún usuario con nombre admin o similares por defecto.
  • Verificar que todos los administradores usan contraseñas robustas y únicas.
  • Activar autenticación en dos pasos (2FA) para administradores y editores críticos.
  • Revisar accesos SFTP/SSH y panel de hosting, no solo el login de WordPress.

Buenas prácticas de control de accesos

  • Aplicar el principio de mínimo privilegio: cada usuario solo con los permisos imprescindibles.
  • Usar cuentas personales, nunca cuentas genéricas compartidas entre varias personas.
  • Registrar altas y bajas de usuarios en un documento interno de control.
  • Rotar contraseñas de accesos críticos cuando cambia el equipo o proveedor externo.
  • Limitar el acceso al panel de administración por IP o país cuando sea viable.

Actualizaciones del core, temas y plugins

Mantener WordPress, los temas y los plugins actualizados es una de las defensas más efectivas frente a vulnerabilidades conocidas. Antes de la auditoría, es recomendable reducir al mínimo el número de componentes desactualizados, siempre siguiendo un procedimiento controlado de pruebas y copias de seguridad.

  • Verificar la versión actual de WordPress y compararla con la última estable disponible.
  • Revisar si hay actualizaciones pendientes de seguridad marcadas como críticas.
  • Actualizar primero en un entorno de staging para detectar incompatibilidades.
  • Comprobar el changelog de plugins y temas antes de aplicar cambios mayores.
  • Evitar versiones beta o de desarrollo en entornos de producción.
  • Activar actualizaciones automáticas solo en componentes de confianza y bien probados.

Orden recomendado para aplicar actualizaciones

  1. Realizar copia de seguridad completa (archivos + base de datos).
  2. Actualizar el core de WordPress a la última versión estable.
  3. Actualizar temas hijos y temas padres activos.
  4. Actualizar plugins de seguridad, caché y rendimiento.
  5. Actualizar el resto de plugins, de menor a mayor criticidad.
  6. Realizar pruebas funcionales básicas del sitio tras cada bloque de actualizaciones.

Plugins y temas seguros: limpieza y buenas prácticas

Cada plugin o tema adicional aumenta la superficie de ataque del sitio. Una auditoría de seguridad siempre revisará la procedencia, el mantenimiento y la necesidad real de cada componente. Adelantarse con una limpieza y revisión crítica mejora tanto la seguridad como el rendimiento.

  • Eliminar plugins y temas que no estén en uso, aunque estén desactivados.
  • Comprobar que todos los plugins proceden de fuentes confiables (repositorio oficial, desarrolladores reputados).
  • Evitar plugins nulled o versiones pirateadas de extensiones premium.
  • Revisar la fecha de última actualización y número de instalaciones activas de cada plugin.
  • Evaluar si varios plugins pueden sustituirse por una solución más integrada y mantenida.
  • Verificar que el tema hijo no contiene código inseguro ni credenciales en claro.

Criterios para decidir si un plugin es aceptable

  • Actualizado en los últimos 6–12 meses y compatible con la versión actual de WordPress.
  • Soporte activo por parte del desarrollador y comunidad de usuarios.
  • Historial sin vulnerabilidades graves recurrentes en bases de datos públicas.
  • Código limpio, sin ofuscación innecesaria ni conexiones externas sospechosas.
  • Funcionalidad realmente necesaria para el proyecto, sin duplicar tareas de otros plugins.

Copias de seguridad y plan de recuperación

Ninguna estrategia de seguridad está completa sin un sistema sólido de copias de seguridad y un plan de recuperación probado. Antes de una auditoría, es fundamental asegurarse de que puedes restaurar el sitio si algo sale mal durante las pruebas o si se detecta una intrusión que requiera volver a un estado anterior.

  • Confirmar que las copias incluyen archivos y base de datos, no solo uno de los dos.
  • Verificar la frecuencia de las copias (diaria, semanal, mensual) según la criticidad del sitio.
  • Comprobar la retención: cuántas versiones históricas se guardan y durante cuánto tiempo.
  • Almacenar al menos una copia fuera del servidor de producción (off-site).
  • Realizar una prueba de restauración en un entorno de staging para validar el proceso.
  • Documentar los pasos de restauración y los responsables de ejecutarlos.

Elementos clave de un plan de recuperación

  • Escenarios contemplados: hackeo, fallo de servidor, error humano, corrupción de datos.
  • Tiempos objetivo de recuperación (RTO) y de pérdida de datos aceptable (RPO).
  • Listado de accesos necesarios: panel de hosting, SFTP/SSH, panel de copias, DNS.
  • Procedimiento de comunicación interna y externa en caso de incidente grave.
  • Registro de incidentes pasados y lecciones aprendidas para mejorar el plan.

Configuración del servidor y hosting seguro

La seguridad de WordPress depende en gran medida de la configuración del servidor y del proveedor de hosting. Incluso un sitio bien configurado puede ser vulnerable si el entorno subyacente no está endurecido. Antes de la auditoría conviene revisar versiones, módulos activos y políticas de seguridad del hosting.

  • Usar versiones de PHP soportadas y con parches de seguridad activos.
  • Desactivar funciones peligrosas de PHP cuando sea posible (por ejemplo, exec, shell_exec).
  • Configurar HTTPS obligatorio con certificados válidos y cifrados fuertes.
  • Revisar permisos de archivos y carpetas: evitar permisos de escritura excesivos.
  • Verificar la existencia de un firewall de aplicaciones web (WAF) o reglas de seguridad equivalentes.
  • Comprobar que el servidor tiene sistemas de detección de intrusiones y limitación de intentos de login.

Parámetros de servidor a revisar antes de la auditoría

  • Versión de PHP, MySQL/MariaDB y servidor web (Apache, Nginx, LiteSpeed, etc.).
  • Configuración de .htaccess o bloques de servidor Nginx relevantes para WordPress.
  • Reglas de seguridad adicionales: bloqueo de xmlrpc.php si no se utiliza, protección de wp-config.php.
  • Limitaciones de recursos (memoria, tiempo de ejecución) y su impacto en la estabilidad.
  • Política de parches y actualizaciones del propio sistema operativo del servidor.

Endurecimiento de WordPress (hardening)

El hardening de WordPress consiste en aplicar una serie de medidas adicionales para reducir la superficie de ataque y dificultar la explotación de vulnerabilidades. Muchas de estas acciones son sencillas de implementar y tienen un impacto significativo en la seguridad general del sitio.

  • Deshabilitar la edición de archivos desde el panel de administración.
  • Restringir el acceso al archivo wp-config.php y moverlo un nivel por encima del root público si es posible.
  • Cambiar el prefijo por defecto de las tablas de la base de datos si el proyecto lo permite.
  • Limitar el número de intentos de inicio de sesión y aplicar bloqueos temporales.
  • Ocultar la versión de WordPress en el código fuente público.
  • Desactivar funciones y endpoints que no se utilicen, como xmlrpc o la API REST para usuarios anónimos, si no son necesarios.

Ejemplos de directivas de hardening útiles

  • En wp-config.php, añadir constantes para desactivar la edición de archivos y revisiones excesivas.
  • Configurar reglas en .htaccess o Nginx para bloquear el acceso a directorios sensibles.
  • Definir claves y salts de autenticación robustas y actualizadas.
  • Limitar la exposición de información en mensajes de error y cabeceras del servidor.
  • Usar un plugin de seguridad confiable para aplicar medidas adicionales de hardening.

Análisis de malware, logs y monitorización

Antes de una auditoría es recomendable realizar un análisis preliminar en busca de malware, archivos sospechosos y patrones anómalos en los registros. Esto ayuda a detectar compromisos previos y proporciona al auditor un contexto más claro sobre el historial de seguridad del sitio.

  • Ejecutar un escaneo de malware con una herramienta especializada o plugin de seguridad.
  • Revisar los registros de acceso y error del servidor en busca de patrones inusuales.
  • Comprobar si existen archivos recientemente modificados en directorios sensibles.
  • Verificar integridad de archivos del core de WordPress frente a la versión oficial.
  • Analizar intentos de fuerza bruta, accesos desde países inesperados o IPs bloqueadas.
  • Documentar cualquier incidente de seguridad previo y las medidas tomadas.

Elementos de monitorización a tener en cuenta

  • Sistema de alertas por correo o mensajería ante cambios críticos en archivos o usuarios.
  • Registro de actividad en el panel de WordPress (altas, bajas, cambios de configuración).
  • Panel de control de seguridad del hosting o WAF con estadísticas de ataques bloqueados.
  • Herramientas externas de monitorización de uptime y rendimiento.
  • Procedimiento para revisar periódicamente los logs y actuar ante anomalías.

Rendimiento, caché y su impacto en la seguridad

Aunque el rendimiento suele tratarse como un aspecto separado de la seguridad, ambos están estrechamente relacionados. Un sitio lento o inestable es más vulnerable a ataques de denegación de servicio, errores de configuración y fallos durante actualizaciones o copias de seguridad. Antes de la auditoría conviene revisar la capa de caché y optimización.

  • Identificar qué sistemas de caché se utilizan: plugin, caché de servidor, CDN, object cache.
  • Verificar que las reglas de caché no exponen información sensible ni sesiones de usuario.
  • Comprobar que las páginas de login y administración no se almacenan en caché.
  • Revisar el impacto de la caché en formularios, carritos de compra y áreas privadas.
  • Medir tiempos de respuesta básicos antes de la auditoría para tener una referencia.
  • Evitar configuraciones experimentales o inestables justo antes de las pruebas de seguridad.

Buenas prácticas de rendimiento con enfoque seguro

  • Usar un CDN confiable con soporte para HTTPS y reglas de seguridad adicionales.
  • Minimizar el número de plugins de optimización para evitar conflictos y puntos débiles.
  • Configurar límites razonables de peticiones por IP para mitigar abusos.
  • Monitorizar el consumo de recursos del servidor durante picos de tráfico.
  • Planificar pruebas de carga controladas si el proyecto lo requiere.

Checklist resumen previo a la auditoría

Para facilitar la revisión final, esta sección resume los puntos clave que deberías comprobar antes de iniciar la auditoría de seguridad de tu sitio WordPress. Puedes utilizarla como lista rápida de verificación o adaptarla a las necesidades concretas de tu proyecto.

Lista rápida de verificación

  • Entorno preparado y documentado: alcance definido, entornos identificados, contactos claros.
  • Usuarios revisados: cuentas antiguas eliminadas, roles ajustados, 2FA activado en perfiles críticos.
  • Actualizaciones al día: core, temas y plugins en versiones estables y probadas.
  • Plugins y temas depurados: componentes innecesarios eliminados, sin software nulled.
  • Copias de seguridad verificadas: pruebas de restauración realizadas en entorno de staging.
  • Servidor endurecido: versiones soportadas, HTTPS forzado, permisos de archivos revisados.
  • Medidas de hardening aplicadas: edición de archivos desactivada, accesos restringidos.
  • Análisis preliminar de malware y logs: sin indicios de compromiso activo.
  • Capa de rendimiento controlada: caché configurada sin comprometer la seguridad.
  • Cumplimiento legal revisado: políticas actualizadas, gestión de cookies y datos personales.
  • Plan de respuesta a incidentes y recuperación documentado y conocido por el equipo.

Preguntas frecuentes

¿Cuánto tiempo antes de la auditoría debo completar la checklist?

Lo ideal es comenzar la revisión entre una y dos semanas antes de la fecha prevista de la auditoría. Así dispones de margen para aplicar actualizaciones, realizar pruebas en staging y resolver incidencias sin prisas. Los ajustes de última hora, especialmente en servidor o caché, conviene evitarlos en los días inmediatamente anteriores a las pruebas.

¿Es obligatorio tener un entorno de staging para la auditoría?

No es obligatorio, pero sí muy recomendable. Un entorno de staging permite probar actualizaciones, cambios de configuración y medidas de hardening sin afectar al sitio en producción. Además, facilita al auditor realizar ciertas pruebas más intrusivas con menor riesgo. Si no dispones de staging, extrema las copias de seguridad y la planificación horaria.

¿Qué hago si detecto indicios de hackeo antes de la auditoría?

Si durante la checklist detectas archivos sospechosos, redirecciones extrañas o actividad anómala, documenta todo lo posible (logs, capturas, fechas) y comunícalo al auditor antes de iniciar las pruebas. En muchos casos será preferible abordar primero la contención y limpieza del incidente y, posteriormente, realizar una auditoría más profunda para identificar el origen y reforzar las defensas.

¿Necesito un plugin de seguridad si voy a hacer una auditoría?

Un plugin de seguridad bien configurado es un complemento útil, pero no sustituye a una auditoría profesional. Ayuda a aplicar medidas de hardening, monitorizar cambios y bloquear ataques comunes. Antes de la auditoría, revisa su configuración, evita solapamientos con otras herramientas y comparte con el auditor qué soluciones de seguridad tienes activas en el sitio y en el servidor.

¿Cada cuánto tiempo debería repetir esta checklist de seguridad?

Más allá de la auditoría puntual, es recomendable revisar esta checklist al menos una vez al año en sitios corporativos y cada seis meses en proyectos críticos o con alto volumen de transacciones. Algunos puntos, como actualizaciones, copias de seguridad y revisión de usuarios, deberían integrarse en rutinas mensuales o incluso semanales según el nivel de riesgo y actividad del sitio.

¿Necesitas asesoramiento legal?

Nuestro equipo de expertos está listo para ayudarte

Consulta Gratuita
Compartir artículo:

Artículos Relacionados

¿Tienes dudas?

Te llamamos gratis

Revisa los siguientes campos:

Mensaje

Tus datos están protegidos

¡Mensaje enviado!

Te contactaremos en menos de 24 horas

Usamos cookies para mejorar tu experiencia…