Cómo proteger tu web si tienes una PYME en España (2026)

1. Actualiza WordPress, plugins y temas. Hoy.

El 80% de los hacks a WordPress vienen de plugins desactualizados. Si llevas más de 6 meses sin actualizar WP core, es probable que tu sitio tenga vulnerabilidades conocidas y públicas. Los bots automáticos las rastrean a diario.

Si no tienes tiempo: instala Easy Updates Manager y activa actualizaciones automáticas para todo (core, plugins, temas, traducciones). Sí, alguna vez se romperá algo — pero menos veces de las que te llegará un email diciendo que tu sitio está infectado.

2. Esconde /wp-login.php

El 60% del tráfico que recibe un WordPress típico es bots intentando hacer brute force contra wp-login.php. Aunque tengas contraseña fuerte, esos miles de intentos al día tumban tu servidor.

Solución: plugin WPS Hide Login. Cambias wp-login.php a /entrada-secreta-123/ y los bots dejan de encontrarte. 5 minutos. Gratis.

3. Pon HTTPS si no lo tienes ya

Si tu web no carga en https://, Google te penaliza en posicionamiento y los navegadores muestran "no es segura" a los visitantes. En Plesk se activa Let's Encrypt gratis con 2 clicks: Subscriptions → SSL/TLS Certificates → Install Let's Encrypt.

Una vez activo, asegúrate de redirigir HTTP → HTTPS en el .htaccess:

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]

4. Cabeceras de seguridad: 30 segundos, mucho impacto

Tu web sirve respuestas HTTP. Esas respuestas pueden incluir cabeceras que le dicen al navegador cómo comportarse de forma segura. Añade esto a tu .htaccess:

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-Content-Type-Options "nosniff"
Header always set Referrer-Policy "strict-origin-when-cross-origin"

Esto previene clickjacking, MIME sniffing, downgrade a HTTP y filtración de información sensible a sitios externos.

5. Backup. De verdad, no el que crees que tienes.

Pregunta clave: ¿cuándo fue la última vez que restauraste tu backup en una copia de prueba? Si la respuesta es "nunca", entonces no tienes backup. Tienes archivos que esperas que sean un backup.

Mínimo viable:

• UpdraftPlus con destino remoto (Google Drive / Dropbox / S3). Diario completo, cada 6h incremental.
• Una vez al mes, restauras el último backup en un dominio de pruebas y compruebas que arranca.
• Mantén al menos 4 versiones rotando — si una infección lleva meses, el backup más reciente puede estar también infectado.

6. Audita lo que está pasando ahora mismo

No esperes a que Google te marque como "sitio comprometido" para mirar. Puedes auditar tu propia web desde cualquier sitio en 30 segundos con nuestro scanner gratuito:

→ Analiza tu web gratis con NUDAYOSH Security

10 capas de detección. Sin email obligatorio. Te dice qué tienes mal y cómo arreglarlo con comandos concretos.

7. Si ya te han hackeado

Lo primero: que no cunda el pánico, pero actúa rápido. Una infección activa expandiendo SEO spam o inyectando JavaScript en tus visitantes puede acabar con tu reputación y conseguirte una blacklist de Google en cuestión de días.

Pasos mínimos:

1. Pon el sitio en mantenimiento o desactiva temporalmente (mejor 1 día caído que 1 mes infectado).
2. Cambia todas las contraseñas: WordPress, FTP/SFTP, base de datos, cPanel/Plesk, hosting.
3. Revisa los usuarios de WordPress y borra cualquier admin que no reconozcas.
4. Audita wp-content/uploads/ buscando archivos .php (no deberían existir nunca ahí).
5. Restaura desde un backup limpio anterior a la infección — si lo tienes.
6. Si no tienes backup limpio, contrata una limpieza profesional. Nosotros lo hacemos desde 199€.

Resumen

La seguridad web no es complicada — pero requiere disciplina. Si haces los 7 pasos de esta guía, te pones por delante del 95% de webs de PYMES en España. Si quieres delegarlo, para eso existimos: pasa el scanner por tu dominio o ponte en contacto y montamos un plan de monitoreo continuo.