Tu web está bajo ataque SIEMPRE, SIEMPRE, SIEMPRE. (10 tips indispensables para protegerte)
Para comenzar, te tengo que informar que a tu sitio no lo atacan porque es un sitio popular necesariamente.
Tú dirás: “No, mi página es muy modesta” o “somos una empresa muy pequeña”. Es lo que uno suele pensar.
Pero los hacks se dan por diversas razones: desde tratar de tumbar tu página para luego cobrar una recompensa, hasta usar tu servidor para minar criptomonedas, enviar spam, robar información, (O simplemente pa' joder 😄. Disculpen la expresión.), etc.
Recuerda que puedes suscribirte a este blog para no perderte ninguna de nuestras publicaciones.
Hay mil razones. Y en la mayoría de los casos, no es una persona apuntando directamente a tu sitio, sino un sistema que lanza ataques masivos a todo internet buscando sitios con alguna “ventanilla abierta” por la cual meterse.
Es una verdadera lástima, pero el mundo digital funciona así: siempre hay alguien intentando hacer daño.
Así que toca estar pendiente. Si tienes un sitio web —ya sea programado por ti o por otras personas— necesitas saber que estas cosas importan y no te deben tomar por sorpresa.
La siguiente lista es bastante básica, pero toca puntos clave.
Entiendo que es un tema técnico, pero si tú eres dueño de un negocio con sitio web, no tomes estas cosas a la ligera.
⸻
1 - Desactiva los modos DEBUG y no los enciendas nunca jamás 🔴 Urgente
Nunca, nunca. Pero nunca, nunca, nunca los actives.
Los sitios web pueden tener errores. En la configuración normal, cuando hay un error, al público solo se le muestra un mensaje genérico (código 500 o similar). Pero el programador necesita ver detalles. Para eso se activa el modo debug, que muestra el error tal cual es.
El problema es que también muestra información sensible al público, como rutas internas, variables del entorno e incluso contraseñas.
Y aunque sea por “un segundo”, justo en ese segundo puede pasar un bot y llevarse toda esa información.
⸻
2 - Instala un firewall 🔴 Urgente
Una opción excelente y gratuita es Cloudflare.
Un firewall es, básicamente, un intermediario que revisa el tráfico antes de que llegue a tu sitio. Es como si entre tu servidor y tu usuario colocaras una computadora extra que hace validaciones y toma decisiones sobre si permitir o bloquear el acceso.
Esto es muy importante, pues le da una capa adicional de protección a tu sitio.
Claro, solo instalarlo no protege tu sitio al 100%. En muchos casos, hay que aprender a configurar reglas que bloqueen usuarios maliciosos pero que mantengan la funcionalidad de tu portal.
Puedes definir reglas como bloquear el acceso a /login desde cualquier IP que no sea la tuya, o mostrar un captcha si alguien intenta entrar al panel de administración.
Un ejemplo de como puede ser una regla en cloudflare para proteger un poco el sitio puede ser:
(http.request.uri.path contains "/wp-") or (http.request.uri.path contains "/wp-includes") or (http.request.uri.path contains "//wp-") or (http.request.uri.path contains "/admin") or (http.request.uri.path contains "/cgi-bin") or (http.request.uri.path contains "wlwmanifest.xml") or (http.request.uri.path contains ".php")
En este caso, estamos buscando URLs comunes asociadas a WordPress. Y es que pasa algo curioso: yo, personalmente, no uso WordPress, pero una gran parte de internet sí lo hace. Tengo entendido que más de la mitad de los sitios web lo utilizan.
Por eso, la mayoría de los ataques están dirigidos a WordPress. Y no es que tenga algo en contra de la plataforma —aunque admito que no me gusta trabajar con ella—, pero como es la herramienta más popular para crear sitios web, naturalmente atrae más la atención de los atacantes.
Algunos datos sobre WordPress en 2025
43% de internet funciona con WordPress
WordPress es el software más usado para crear sitios web en el mundo.
61.4% de participación entre CMS
Más que todas las demás plataformas combinadas.
Más de 65,000 plugins disponibles
Y decenas de miles de temas para personalizar sitios.
1 de cada 3 tiendas usa WooCommerce
El ecommerce basado en WordPress domina el mercado.
Fuente: https://wordpress.com/blog/2025/04/17/wordpress-market-share/
Gestores de contenido menos conocidos suelen pasar desapercibidos, simplemente porque poca gente los usa.
Lo más curioso es que, aunque tu sitio no esté hecho en WordPress, los malwares igual lo buscan. Es común ver en tus registros de error (404) muchas URLs relacionadas con WordPress, porque estos sistemas automatizados las prueban de todos modos, por si acaso aciertan.
¿Quieres algo más robusto? Para empresas, Sucuri es una gran opción con planes accesibles y existen otros como Azure WAF, AWS Waf, Fortine, Barracuda y otros. Pero Cloudflare es casi obligatorio. Es "gratis" y tienen muchas ventajas.
⸻
3 - Mantén tu sitio actualizado 🟠 Importante
Ya sé. Da pereza, puede romper el sitio y si todo “funciona”, ¿para qué tocarlo?
Pero los atacantes buscan versiones antiguas con vulnerabilidades conocidas.
Por ejemplo, si tienes WordPress 6.0 y hay una falla en esa versión, hay bots buscando justamente con estos errores que son de dominio público el saber que tienen este error.
Entonces actualiza tu sitio para que en esas nuevas versiones tu sitio mantenga todos esos cambios en temas de seguridad principalmente.
Actualiza plugins, CMS y dependencias. Siempre. Por más tedioso que esto parezca.
📝 Una pequeña nota: a veces lo barato sale caro.
Muchas veces tendemos a usar plugins de WordPress, por dar un ejemplo, que son gratis o que no sabemos si son confiables. En muchos casos, es mejor comprar plugins de empresas que claramente están dando mantenimiento a estos, pues mucha gente sube piezas de código que no actualizan, y pasa lo de siempre: alguien descubre una vulnerabilidad en uno de esos y te hackean por ahí.
Tú dirás: “No, pero si el WordPress lo tengo al día”. Nota: esto no es un artículo sobre WordPress, pero lo uso mucho como ejemplo.
Hay un plugin llamado Malcare para WordPress, que cuesta alrededor de $149 anuales por sitio web. Lo usé alguna vez en un sitio y funciona bien, pues actúa como firewall y además revisa los plugins instalados.
→ https://www.malcare.com/
⸻
4 - Revisa periódicamente los logs del servidor 🟠 Importante
Los logs son como el diario de tu servidor. Te dan una idea de lo que está pasando y toca revisarlos.
Ahí puedes ver si alguien (o algo) está intentando acceder a páginas raras como /admin_old, /config.php o /wp-login.
Es una forma clave de detectar ataques silenciosos antes de que ocurra algo grave.
Y, por cierto, los logs de errores también te pueden dar pistas sobre fallas del sitio que podrían ser causadas por bots accediendo a páginas aleatorias.
⸻
5 - Haz backups automáticos y frecuentes 🟠 Importante
Un ataque, un error humano o una falla del servidor pueden dejar tu sitio inservible.
Tener backups automáticos y versiones guardadas en otro lugar (como Dropbox, Google Drive o Amazon S3) te permite restaurarlo rápidamente.
Si eres usuario de DigitalOcean, por ejemplo, ellos ofrecen planes automáticos de backups que están muy bien.
⸻
6 - Usa contraseñas seguras y autenticación en dos pasos 🔴 Urgente
Nada de admin123 o empresa2024.
Usa contraseñas largas y aleatorias, y activa la verificación en dos pasos siempre que puedas (para paneles de hosting, administración, correos, etc.).
Esto bloquea el 99% de los intentos automatizados.
⸻
7 - Limita el acceso por IP o por país 🟠 Importante
¿Tus usuarios solo entran desde Panamá? Bloquea el resto del mundo. O al menos, configúralo para que otros países vean un captcha.
¿El panel de administración solo lo usas tú? Permite el acceso solo desde tu IP.
Cloudflare lo permite, y es una excelente forma de cerrar la puerta a miles de intentos automatizados.
📌 Nota aclaratoria:
Si tu sitio necesita posicionamiento SEO, debes habilitar el acceso de los agentes de búsqueda de Google y otros bots como los de los ChatBots modernos.
En ese caso, investiga una lista actualizada de los principales user agents para permitirles el acceso. Si no, tu página puede desaparecer de los resultados de búsqueda.
Esto por ejemplo puede ser algo así en CloudFlare.
http.user_agent contains "Googlebot" or http.user_agent contains "ChatGPT" or http.user_agent contains "Claude" or http.user_agent contains "Anthropic" or http.user_agent contains "Bingbot" or http.user_agent contains "DuckDuckBot" or http.user_agent contains "Applebot" or http.user_agent contains "Facebot" or http.user_agent contains "facebookexternalhit"
y esto es lo contrario. Esto haces que no los bloqueé.
⸻
8 - Elimina archivos innecesarios y scripts olvidados 🟠 Importante
Muchos ataques comienzan por archivos como test.php, admin_bk.php, panel_old.php que quedaron olvidados.
Haz limpiezas periódicas en tu servidor.
Si no sabes qué hace un archivo, mejor bórralo (previo backup).
⸻
9 - Instala un sistema de detección de intrusos (IDS) 🔴 Urgente
Herramientas como Fail2Ban o OSSEC detectan patrones sospechosos y bloquean IPs automáticamente.
Son como un sistema de alarmas digital.
Y puedes combinarlas con firewalls como Cloudflare para mayor protección.
⸻
10 . Protege tus formularios contra inyecciones 🟠 Importante
Los formularios de contacto, login o búsqueda pueden ser usados para ataques si no están bien protegidos.
Valida siempre del lado del servidor, limpia las entradas y usa tokens anti-CSRF.
No basta con tener un captcha solamente.
Esta técnica se la vi primero a la gente de MailChimp por cierto: También puedes usar un campo oculto con un nombre genérico que los bots suelen llenar.
Si ese campo llega lleno, sabes que fue un robot.
(Consejo: usa un nombre aleatorio para evitar que los autocompletadores del navegador lo llenen por error.)
⸻
Espero que este artículo te sirva.
La seguridad es tediosa, sí, pero estos 10 puntos son un excelente comienzo para proteger tu sitio.
Y recuerda: siempre hay más por hacer, pero esto ya es una base sólida.
Comments ()