3 vulnerabilidades críticas en webs pequeñas (y cómo evitarlas sin ser un experto)

Un estudio de Verizon del 2024 indica que el 82% de los incidentes de seguridad en empresas pequeñas involucran credenciales robadas, errores humanos o ataques a aplicaciones web básicas —no técnicas de hacking avanzado. La buena noticia para las pymes es que protegerse de la gran mayoría de ataques reales no requiere un equipo de seguridad especializado: requiere implementar unos 10 controles básicos de manera consistente.

Las 3 vulnerabilidades que vemos más a menudo en webs de pymes

La primera es tener plugins y dependencias desactualizadas. En WordPress, el 97% de los webs infectados lo han sido por plugins o temas desactualizados, no por vulnerabilidades del core de WordPress. Cada plugin no actualizado es una puerta potencial abierta. La solución es simple: activa las actualizaciones automáticas para plugins y temas, o haz una revisión semanal manual.

La segunda es usar contraseñas débiles o compartidas. En 2024, las contraseñas más usadas siguen siendo '123456', 'password' y variaciones del nombre de la empresa. Para un panel de administración WordPress, cualquier atacante puede probar miles de combinaciones por segundo con herramientas automatizadas (ataque de fuerza bruta). La solución es usar un gestor de contraseñas (Bitwarden, 1Password) para todas las credenciales y activar la autenticación de dos factores (2FA) en el panel de administración.

• Actualizaciones automáticas: actívalas para WordPress core, plugins y temas. Si no quieres el automatismo completo (puede romper cosas), programa una revisión semanal y actualiza en cuanto aparezcan parches de seguridad.
• Contraseñas fuertes y únicas: usa un gestor de contraseñas. Cada servicio debe tener una contraseña diferente y aleatoria de mínimo 16 caracteres. Una contraseña reutilizada comprometida en un lugar expone todos los demás.
• 2FA en todos los paneles de administración: WordPress (plugin Two Factor), cPanel, Cloudflare, Google Search Console, tu proveedor de hosting. El 2FA elimina prácticamente el riesgo de comprometimiento por contraseña robada.
• Backups fuera del servidor: haz copias de seguridad diarias automáticas (UpdraftPlus para WordPress) y almacénalas en un servicio externo (Google Drive, Amazon S3, Dropbox). Si el servidor se compromete, los backups en el mismo servidor no servirán.
• Permisos correctos de ficheros: los ficheros de WordPress deben tener permisos 644 y los directorios 755. Permisos demasiado permisivos (777) permiten que cualquier script ejecute código en el servidor.
• Formularios con protección anti-abuso: todos los formularios web (contacto, login, comentarios) deben tener algún sistema anti-spam y anti-fuerza-bruta. Cloudflare Turnstile (gratuito y sin fricción para el usuario) es la mejor opción actual.
• Headers de seguridad básicos: añade a tu servidor o via Cloudflare los headers X-Frame-Options, X-Content-Type-Options, y Strict-Transport-Security. Muchos hosting panels lo configuran en un clic.
• Monitorización mínima de logs: configura alertas de email para intentos de login fallidos repetidos (WordPress: plugin WP Cerber o Wordfence). Si detectas 100 intentos de login desde una IP en 10 minutos, es un ataque de fuerza bruta activo.

Por dónde empezar si no sabes el estado actual de seguridad de tu web

Si no sabes por dónde empezar, ejecuta una auditoría básica en menos de una hora. Primero, revisa todos los plugins y temas de WordPress y actualiza los que estén desactualizados. Segundo, comprueba la puntuación de security headers de tu web en securityheaders.com —es gratuito y te da un informe detallado en 30 segundos. Tercero, verifica que tu web tiene HTTPS activo y que el certificado SSL no caduca en los próximos 30 días.

Para una auditoría más completa, usa la herramienta gratuita de Sucuri SiteCheck (sitecheck.sucuri.net) que escanea tu web en busca de malware, código inyectado y problemas de seguridad conocidos. Si te sale alguna alerta roja, es el momento de buscar ayuda profesional.

Con higiene básica y revisión mensual, reducimos gran parte del riesgo real. La seguridad no es un proyecto —es un hábito.