Skip to content

Consejos de seguridad para administradores de multisitios de WordPress

Alejandro Frades
Consejos de seguridad para administradores de multisitios de WordPress

Administrar una red WordPress multisitio es como ser el conserje de un edificio de apartamentos: un problema en cualquier piso afecta a todo el edificio. Solo que aquí hablamos de sitios web, y las consecuencias pueden ser mucho más serias.

¿Por qué la seguridad multisitio requiere un enfoque diferente?

Con varios sitios compartiendo la misma instalación de WordPress, cualquier vulnerabilidad se multiplica. Un plugin desactualizado en el sitio de Marketing puede comprometer también los de Ventas, Soporte y Recursos Humanos. Ese “efecto dominó digital” es el mayor temor de cualquier administrador.

Consejo 1: Sé tacaño con los permisos de superadministrador

El rol de superadministrador equivale a tener las llaves maestras del edificio: puede instalar plugins, activar temas y cambiar ajustes que afectan a toda la red. Resérvalo para un máximo de 2-3 personas de absoluta confianza.

Cómo aplicarlo: Desde Escritorio → Administración de la red, revisa la lista de usuarios y degrada los roles innecesarios. Si alguien solo debe gestionar un sitio concreto, asígnale el rol de Administrador únicamente en ese sitio.

Consejo 2: Implementa autenticación de dos factores obligatoria

Las contraseñas, por fuertes que sean, son solo una barrera. La 2FA añade una segunda cerradura: aunque consigan la primera llave, necesitarán también la segunda.

Cómo aplicarlo: Instala un plugin como WP 2FA o miniOrange 2FA. Actívalo y marca «Obligatorio para administradores y superadministradores». Los usuarios configurarán su segundo factor la próxima vez que inicien sesión.

Consejo 3: Automatiza las actualizaciones críticas

Mantener 50 sitios al día a mano es garantía de olvido. Y justo ese olvido será el que los atacantes encuentren.

Cómo aplicarlo: Añade en wp-config.php:

define( 'WP_AUTO_UPDATE_CORE', true );

Para plugins críticos, usa WP-CLI y programa un cron que ejecute:

wp plugin update --all

cada madrugada de domingo.

Consulta esta lista de los mejores plugins de seguridad para WordPress para elegir opciones fiables.

Consejo 4: Practica la higiene digital

Plugins y temas sin usar son habitaciones abandonadas: nadie las vigila, pero siguen siendo puntos de entrada.

Cómo aplicarlo: Dedica una hora al mes a revisar tu lista de plugins y temas. Si algo lleva más de tres meses sin usarse, elimínalo (no lo desactives).

Consejo 5: Bloquea los ataques de fuerza bruta

WordPress permite intentos ilimitados de inicio de sesión, invitando a los bots a adivinar contraseñas.

Cómo aplicarlo: Instala Limit Login Attempts Reloaded y configúralo con:

  • 3 intentos permitidos
  • Bloqueo de 20 min tras 3 fallos
  • Bloqueo de 24 h tras 3 bloqueos consecutivos

Añade la IP de tu oficina a la lista blanca.

Consejo 6: Configura backups automáticos inteligentes

En multisitio, un backup es tu póliza de seguro contra el caos.

Cómo aplicarlo: Con UpdraftPlus o BackWPup programa copias diarias y envíalas a Google Drive, Dropbox o Amazon S3. Nunca guardes las copias solo en el mismo servidor.

Consejo extra: Realiza una restauración de prueba cada trimestre; un backup no probado es solo una esperanza.

Consejo 7: Monitorea sin volverte paranoico

Necesitas visibilidad, pero no espiar cada clic.

Cómo aplicarlo: Con WP Activity Log, registra solo eventos críticos: instalación o borrado de plugins, cambios de usuarios, inicios de sesión fallidos, modificaciones de archivos. Revisa los registros semanalmente y busca patrones anómalos.

Consejo 8: Fuerza HTTPS en toda la red

En 2025, no usar HTTPS es como enviar cartas sin sobre.

Cómo aplicarlo: Si tu hosting no incluye SSL automático, instala Really Simple SSL para redirigir todo el tráfico a HTTPS y corregir contenido mixto.

Consejo 9: Desactiva XML-RPC si no lo necesitas

XML-RPC es una puerta trasera para apps móviles y servicios externos. Si no la usas, ciérrala.

Cómo aplicarlo:

  • Instala Disable XML-RPC API  o
  • Añade en .htaccess: 
    <Files xmlrpc.php>
  Order Deny,Allow
  Deny from all
</Files>

Si necesitas XML-RPC para algo específico, restringe solo las funciones necesarias con un plugin adecuado.

La realidad de gestionar múltiples sitios

Implementar todo esto manualmente en 10, 20 o 50 sitios puede convertirse en un trabajo de tiempo completo. Para redes grandes, herramientas como Modular DS permiten aplicar actualizaciones masivas, monitorizar la seguridad y gestionar backups desde un panel centralizado. No son indispensables, pero pueden reducir dos días de trabajo a dos horas.

Conclusión: seguridad práctica y sostenible

La seguridad en WordPress multisitio no consiste en aplicar todas las medidas posibles, sino las adecuadas de forma consistente. Con estos consejos tendrás una base sólida que podrás mantener a largo plazo sin volverte loco.

Recuerda: la seguridad es un proceso continuo; un sitio protegido hoy puede ser vulnerable mañana si bajas la guardia.

Autor
Alejandro Frades
Marketing Specialist
La mente detrás de los contenidos sociales de Modular DS. Siempre al tanto de las últimas tendencias para aprovecharlas y hacer que el mundo digital sea más ameno y entretenido.
LinkedIn

No te pierdas nada

Suscríbete a nuestra newsletter para enterarte antes que nadie de todas las novedades y lanzamientos de Modular DS. Luego no digas que no avisamos 😉

    Artículos relacionados