¿Cuál es el error número uno en seguridad web?

Ignorar actualizaciones de WordPress, plugins y temas. Las vulnerabilidades conocidas sin parche son la puerta de entrada más explotada por malware, permitiendo acceso en horas.

¿Cuánto cuesta limpiar un sitio web infectado?

Entre 2.500 y 6.000 euros incluyendo análisis forense, eliminación de malware, auditoría post-limpieza y hardening. Prevención anual cuesta 300-500 euros.

¿Qué es un WAF y por qué lo necesito?

Un Web Application Firewall bloquea ataques como inyección SQL y XSS antes de llegar a tu servidor. Soluciones asequibles: Wordfence, Sucuri, Cloudflare.

¿Cómo sé si tengo un backdoor en mi WordPress?

Contratar análisis forense profesional es lo más fiable. Indicios: cambios sin autorización, archivos desconocidos, rendimiento lentitud extrema. Restore desde backup limpio confirmado.

¿Es obligatorio hacer auditoría de seguridad?

RGPD obliga a medidas de seguridad para datos personales. Auditoría anual es recomendación estándar y respaldo legal ante incidentes.

Errores de seguridad web: qué hacen mal antes de contratar

El error más caro: qué hacen mal los propietarios antes de contratar profesionales

En mi experiencia auditando más de 500 sitios comprometidos, he visto un patrón que se repite constantemente: cuando llamas a un profesional de ciberseguridad web, ya es demasiado tarde. No porque no podamos resolver el problema —lo hacemos—, sino porque el coste económico y reputacional habría sido infinitamente menor si hubieras actuado antes. Hoy quiero mostrarte qué errores cometen la mayoría de propietarios de WordPress y PrestaShop que después se arrepienten.

1. Ignorar las actualizaciones: el lujo que no puedes permitirte

Este es probablemente el error número uno. Cuando reviso un sitio infectado, la primera pregunta que hago es: «¿cuándo fue la última actualización de WordPress, plugins y temas?» La respuesta más frecuente: «No sé, lleva meses sin tocar».

Las vulnerabilidades conocidas en plugins desactualizados son la puerta de entrada preferida de los atacantes. Toma el caso de Elementor, WooCommerce o Yoast SEO: cada parche de seguridad cierra un agujero que los malwares ya están explotando en miles de sitios que no actualizan. En PrestaShop ocurre lo mismo con módulos de pago o gestión de inventario.

Lo que recomiendo siempre es establecer un cronograma automático de actualizaciones en desarrollo o testing primero, y luego en producción. No es complicado: una hora mensual puede ahorrarte 3.000 euros en limpieza de malware.

Costo real: Una inyección SQL en un plugin desactualizado de WooCommerce puede robar datos de clientes. Notificación a afectados + auditoría forense + pérdida de reputación = mínimo 5.000 euros.

2. Contraseñas débiles en el back-office

Todavía encuentro sitios con credenciales como «admin123» o «wordpress2024». Cuando realizo un ataque de fuerza bruta contra wp-login.php sin protección, accedo en cuestión de minutos.

El error no es solo la contraseña débil. Es que los propietarios:

No restablecen contraseñas cuando despiden a un trabajador que tenía acceso.
Usan la misma contraseña en múltiples sitios.
No activan autenticación de dos factores (2FA).
No limitan intentos de login fallidos.

Un atacante que accede al back-office puede instalar un backdoor en 30 segundos. Desde entonces, aunque cambies la contraseña, ellos siguen dentro.

Acción preventiva: Usa un gestor de contraseñas, implementa 2FA con plugins como Wordfence, y configura límites de intentos de login fallidos en tu archivo .htaccess o a través de tu WAF.

3. No tener copias de seguridad o tenerlas sin verificar

Cuando descubrimos que tu sitio está comprometido, la única forma de volver a estado limpio sin dudas es restaurar desde una copia de seguridad previa a la infección. Pero muchos propietarios:

No hacen copias de seguridad en absoluto.
Las hacen, pero nunca las prueban restaurándolas.
Las almacenan en el mismo servidor (si se hackea, se pierden todas).
No tienen automatización, por lo que «olvidan» hacer backups durante meses.

Una copia de seguridad corrupta o infectada es peor que no tener ninguna, porque te hace creer que estás protegido cuando no lo estás.

Mi recomendación: Automatiza backups diarios con plugins como UpdraftPlus o Backwpup, almacénalos en AWS S3 o Google Drive (fuera del servidor), y prueba una restauración al menos trimestralmente.

4. Desconocer qué plugins y temas tienes instalados

Cuando analizo un sitio, genero un inventario completo de todo lo que corre. Frecuentemente encuentro:

Plugins nulled (pirateados) descargados de fuentes dudosas.
Temas premium «crackeados» que vienen con backdoors.
Plugins desactualizados de hace 3 años que no se usan.
Complementos que nunca fueron instalados conscientemente (¿cómo llegaron ahí?).

Cada plugin es una línea de código potencialmente vulnerable. Cada tema es una oportunidad de ataque. Si no sabes qué tienes, no puedes protegerte.

Acción preventiva: Ejecuta en terminal WP-CLI con wp plugin list y wp theme list para saber exactamente qué tienes. Elimina todo lo que no uses. Compra solo desde fuentes oficiales: WordPress.org, distribuidores autorizados.

5. No proteger el archivo wp-config.php

Este archivo contiene las credenciales de acceso a tu base de datos. Si un atacante lo obtiene, tiene acceso completo a toda tu información. Sin embargo, muchos servidores lo sirven sin protección.

No cuesta casi nada protegerlo mediante .htaccess:

Denegar acceso directo a wp-config.php.
Desactivar edición de archivos desde el back-office (constante DISALLOW_FILE_EDIT).
Cambiar los permisos de archivo a 600.

Si tu proveedor de hosting no te permite esto, es hora de cambiar de proveedor.

6. Ignorar alertas de Google Search Console

Google te avisa cuando detecta malware o contenido inyectado en tu sitio. He visto propietarios con 50+ alertas sin abrir. Eso es equivalente a ignorar una alarma de incendio porque no quieres mirar.

Las advertencias de seguridad en los resultados de búsqueda también te cuestan visibilidad y confianza de clientes. Una detección de malware puede reducir tráfico orgánico hasta un 90%.

Acción: Revisa Search Console semanalmente. Si hay alertas, invéstigalas inmediatamente o contacta a un profesional.

7. No implementar un WAF (Web Application Firewall)

Un WAF es como un guardaespaldas para tu sitio web. Detecta patrones de ataque (inyección SQL, XSS, brute force) y los bloquea antes de llegar a tu servidor.

Soluciones económicas como Wordfence, Sucuri o Cloudflare ofrecen WAF con planes asequibles. Si no tienes nada, estás navegando sin casco de seguridad.

8. Delegar seguridad a desarrolladores sin experiencia en ciberseguridad

Desarrollar una tienda online no es lo mismo que asegurarla. Un buen developer crea funcionalidades. Un profesional de seguridad piensa como un atacante: «¿por dónde entraría?»

Muchos propietarios creen que porque tienen un developer interno, ya están cubiertos. Luego descubren una vulnerabilidad de inyección SQL que habría sido detectada en una auditoría profesional.

9. No tener política de acceso para usuarios

¿Cuántas personas tienen credenciales de admin en tu WordPress? ¿Las restableciste cuando alguien se fue? ¿Tienes registros de quién accedió cuándo?

En PrestaShop ocurre lo mismo: empleados con acceso al back-office que ya no trabajan contigo. Un acceso comprometido o malintencionado puede ser indistinguible de un ataque externo.

Mejor práctica: Crea roles y permisos específicos. Admin solo para ti. Editors para contenidos. WooCommerce Manager para responsables de tienda. Usa auditoría de logs para rastrear cambios.

10. Esperar a que «algo ocurra» antes de actuar

Este es el peor error. Esperar a tener un problema para contratar a un profesional es como esperar a tener un infarto para ir al cardiólogo.

La seguridad proactiva es exponencialmente más barata que la reactiva. Una auditoría anual (200-500 euros) previene un ataque de 5.000+ euros. Un escaneo trimestral detecta malware temprano. Un hardening inicial ahorra migraciones de emergencia.

Los sitios web no «se protegen solos». Requieren vigilancia constante, actualizaciones regulares y una mentalidad defensiva.

¿Cuál es el costo real de esperar?

Cuando un sitio está comprometido, los gastos incluyen:

Análisis forense: 400-800 euros (saber cómo entraron).
Limpieza completa: 600-2.000 euros (eliminar cada rastro de malware).
Restauración de datos: 300-1.500 euros si hay corrupción.
Auditoría post-limpieza: 300-500 euros (asegurar que está limpio).
Hardening: 500-1.500 euros (prevenir futuros ataques).
Pérdida de reputación y ventas: Incalculable.
Notificación a usuarios afectados: Obligatorio por RGPD, costoso en tiempo.

Total realista: 2.500-6.000 euros en una emergencia. Compare con 300-500 euros anuales en mantenimiento preventivo.

El primer paso: haz una auditoría ahora

No esperes a tener un problema. En ManuelFolgar.com realizo auditorías de seguridad completas que incluyen:

Escaneo de malware y vulnerabilidades conocidas.
Análisis de configuración y permisos.
Inventario de plugins, temas y dependencias.
Recomendaciones de hardening personalizadas.
Plan de acción con prioridades.

El primer paso no cuesta tanto como el último. Contáctame para una auditoría sin compromiso. Te mostraré exactamente dónde están tus brechas de seguridad antes de que alguien más las encuentre.

Referencias y recursos

Para profundizar en ciberseguridad web, consulta estas fuentes de autoridad:

INCIBE – Instituto Nacional de Ciberseguridad: Guías de seguridad web en español.
OWASP – Open Web Application Security Project: Top 10 de vulnerabilidades web más críticas.
AEPD – Autoridad de Protección de Datos: Obligaciones de seguridad bajo RGPD.
NVD (National Vulnerability Database): Base de datos de vulnerabilidades conocidas con CVEs.

La ciberseguridad web no es un gasto. Es una inversión en continuidad de negocio. Actúa ahora, antes de que sea demasiado tarde.

El error más caro: qué hacen mal los propietarios antes de contratar profesionales

El error más caro: qué hacen mal los propietarios antes de contratar profesionales

1. Ignorar las actualizaciones: el lujo que no puedes permitirte

2. Contraseñas débiles en el back-office

3. No tener copias de seguridad o tenerlas sin verificar

4. Desconocer qué plugins y temas tienes instalados

5. No proteger el archivo wp-config.php

6. Ignorar alertas de Google Search Console

7. No implementar un WAF (Web Application Firewall)

8. Delegar seguridad a desarrolladores sin experiencia en ciberseguridad

9. No tener política de acceso para usuarios

10. Esperar a que «algo ocurra» antes de actuar

¿Cuál es el costo real de esperar?

El primer paso: haz una auditoría ahora

Referencias y recursos

Más entradas

Que hacer cuando no consigo solucionar mi problema del wordpress incluso utilizando la IA

Tema vulnerables en 2026: qué versiones antiguas dejan puertas abiertas al malware

Base de datos corrupta tras ataque: recuperación segura de wp_users y wp_options

Formularios contacto secuestrados: cómo los hackers roban datos a través de formularios