Meu site é pequeno. Sou alvo de ataque mesmo?

Sim. A grande maioria dos ataques não é direcionada — são robôs varrendo a internet em busca de sites com falhas conhecidas (plugin desatualizado, senha fraca). O tamanho do seu negócio não importa para um script automatizado; o que importa é se a porta está aberta.

WordPress é inseguro?

O WordPress em si não é o problema — é a desatualização. A maioria das invasões explora plugins ou temas velhos, não o núcleo do WordPress. Mantendo tudo atualizado, removendo o que não usa e usando senhas fortes, ele é tão seguro quanto a maioria das plataformas.

Com que frequência preciso atualizar plugins e temas?

O ideal é ligar a atualização automática para correções de segurança e revisar o resto pelo menos uma vez por semana. Quanto mais tempo um plugin fica desatualizado, maior a janela para um ataque automatizado.

Acho que meu site foi invadido. O que faço primeiro?

Verifique os usuários administradores (apague qualquer um que você não criou), troque todas as senhas, atualize tudo e restaure de um backup limpo se houver. Se o site lida com dados de clientes ou pagamentos, vale acionar um profissional para uma limpeza e auditoria completas.

Seguridad 16 de junio de 2026 9 min de lectura 880

Seguridad de sitios: la guía práctica para proteger el tuyo (sin pánico)

La mayoría de los sitios hackeados no cayó ante un genio del mal — cayó por un plugin desactualizado, una contraseña débil o un descuido. Reuní las amenazas que más tumban sitios de PyMEs y un plan por capas para cerrar las puertas, con las guías y herramientas para cada parte.

La mayoría de los hackeos explotan tres debilidades: plugins desactualizados, contraseñas débiles y código que confía en el usuario. Proteger tu sitio es un plan de capas, no una bala de plata. Esta guía mapea las puertas más explotadas, el checklist de protección para un fin de semana y cuándo contratar a un especialista.

Cuando un cliente me llama en pánico porque "el sitio fue hackeado", casi nunca fue un genio del mal. Fue un plugin que nadie actualizó, una contraseña que era 123456 o un formulario que confiaba demasiado en el visitante. La buena noticia: las puertas que usan los atacantes son casi siempre las mismas — y puedes cerrar la mayoría en un fin de semana. Esta es la guía que querría que todo dueño de sitio leyera.

¿Qué amenazas comprometen más los sitios?

Los ataques de hoy son, en su gran mayoría, automatizados: robots rastreando internet en busca de fallas conocidas. El tamaño de tu negocio no importa — importa si la puerta está abierta. Las más comunes:

Plugin, tema o CMS desactualizado — la puerta nº 1. Es justo lo que pasó en el caso reciente del plugin Everest Forms en WordPress, donde un campo de formulario se volvió una puerta para ejecutar código en el servidor.
Código que confía en el usuario — entrada de formulario cayendo directo en un eval() o concatenada en un SQL. El "pecado original" que desgloso en ese mismo post.
Contraseña débil, sin 2FA, o un usuario admin olvidado — la forma más tonta (y común) de perder el sitio.
Sitio sin HTTPS — inseguro, y además Google lo penaliza y el navegador lo marca como "no seguro".
Datos personales expuestos / sin base legal — recoger nombre, e-mail y teléfono sin política y sin cuidado es un riesgo jurídico además de técnico. Hay una guía solo sobre eso (con un generador gratis).
IA mal conectada — chatbots y agentes que obedecen instrucciones ocultas (prompt injection). Armé un agente falso para que lo hackees y sientas por qué es estructural.

¿Cómo armar un plan de protección por capas?

La seguridad no es una bala de plata — son capas. Si una falla, la siguiente sostiene. Este es el plan que aplico (y cabe en un fin de semana):

Actualiza todo y activa la actualización automática. Elimina plugins, temas y cuentas que no usas — cada uno es una puerta menos.
Contraseñas fuertes + 2FA en todo panel. Revisa los administradores y borra cualquiera que no reconozcas.
HTTPS + un WAF (firewall de aplicación, tipo Wordfence) + copias de seguridad automáticas fuera del servidor.
(En el código) nunca confíes en el usuario: valida la entrada, usa prepared statements, nada de eval() con datos externos ni secretos en el código.
LGPD/privacidad: ten política de privacidad y una base legal para los datos. Genera las tuyas en minutos con PolicyForge.
Monitorea: alertas de usuario nuevo, de cambio de archivo y de login extraño. Mientras antes sepas, menor el daño.

¿Cuándo contratar a un especialista en seguridad?

Puedes hacer mucho solo con el plan de arriba. Pero vale llamar a alguien cuando: ya te invadieron (y necesitas una limpieza confiable), el sitio es una tienda / maneja pagos o datos sensibles, o simplemente no tienes tiempo y prefieres dormir tranquilo.

Quiero una auditoría de seguridad

Hago hardening, corrección de vulnerabilidades y adecuación a la LGPD — sin volverme una mala noticia. Si alguna señal de arriba es tu caso, hablemos.

¿Dónde profundizar en cada amenaza?

Esta guía es el mapa. Cada puerta tiene su profundización:

Un plugin con eval() está secuestrando sitios WordPress — el caso Everest Forms, en la práctica.
Cómo crear la Política de Privacidad de tu sitio (LGPD), gratis — con generador.
"Ignora las instrucciones anteriores" — el ataque de prompt injection que la IA no sabe frenar.
Cómo saber si tu contraseña es fuerte — y por qué "Senha123!" se rompe en segundos.
Cabeceras de seguridad HTTP — cerrá clickjacking, XSS y sniffing con un generador listo.
Cómo evitar el spam en formularios sin CAPTCHA — Honeypot y Time-trap con código listo para copiar.

¿Qué amenazas comprometen más los sitios?

¿Cómo armar un plan de protección por capas?

¿Cuándo contratar a un especialista en seguridad?

¿Dónde profundizar en cada amenaza?

Sigue leyendo

Un plugin con eval() está secuestrando sitios WordPress: el caso Everest Forms y cómo protegerte

Cómo hacer backup de tu sitio (y por qué el backup del propio hosting no basta)

Cómo evitar el spam en formularios sin CAPTCHA (Honeypot y Time-trap)