Las organizaciones que gestionan muchos sitios web suelen recurrir a WordPress multisitio por su flexibilidad y control. Universidades, empresas de medios de comunicación, organizaciones sin ánimo de lucro y agencias lo utilizan para gestionar varios sitios desde una única instalación de WordPress. Cada sitio puede tener sus propios usuarios, contenido y dominio, mientras que la red comparte plugins, temas y archivos principales. Esta configuración simplifica el mantenimiento, reduce la duplicación y ayuda a los equipos a escalar más rápido.
Pero esta comodidad plantea problemas de seguridad únicos. Como todos los sitios comparten los mismos archivos del core, una vulnerabilidad, como una contraseña débil o un plugin obsoleto, puede comprometer toda la red.
En lugar de aislar el problema en un único sitio, los atacantes tienen la posibilidad de acceder a todos los sitios del sistema. En WordPress multisitio, los riesgos de seguridad se multiplican rápidamente.
Esta guía te ayudará a seguir las mejores prácticas para proteger toda tu red. Aprenderás a configurar una instalación segura, a estar al tanto de las actualizaciones, a reforzar tu sistema contra los ataques y a vigilar las actividades sospechosas.
También hablaremos de herramientas y plugins que te ayudan a reforzar la seguridad en varios sitios y destacamos cómo el alojamiento administrado para WordPress simplifica y refuerza la protección en toda la red.
Aprendamos más.
Empieza con una instalación segura
La configuración de una red multisitio de WordPress segura comienza en el momento en que la instalas. Cada elección que hagas en esta fase — como contraseñas, roles de usuario y autenticación — afecta a todo el sistema.
Aquí te explicamos cómo hacerlo bien desde el principio.
Utiliza contraseñas fuertes y únicas
En un entorno de red compartida, las contraseñas seguras no son opcionales. El riesgo se reduce drásticamente cuando todos los usuarios, especialmente los superadministradores, utilizan contraseñas complejas y únicas. Refuerza la seguridad de las contraseñas en todos tus sitios con un plugin como Password Policy Manager.
Este plugin te ayuda a establecer requisitos de longitud, complejidad y caducidad de las contraseñas, para que los usuarios no puedan recurrir a credenciales débiles o reutilizadas.
Limita el acceso de los superadministradores
Los superadministradores tienen control total sobre toda tu red multisitio, incluida la instalación de temas y plugins, la gestión de usuarios y la realización de cambios en todo el sitio. Limita este rol sólo a aquellos que realmente lo necesiten. Asigna a la mayoría de los usuarios funciones de administrador a nivel de sitio para minimizar los daños si la cuenta de alguien se ve comprometida.
Exige la autenticación de dos factores
Añadir la autenticación de dos factores (2FA) protege tus cuentas más sensibles, incluso si se filtra o adivina una contraseña. Plugins como WP 2FA facilitan la exigencia de 2FA a los superadministradores y otros usuarios con permisos elevados. Estas herramientas admiten autenticación basada en aplicaciones, códigos de correo electrónico y métodos de copia de seguridad para garantizar inicios de sesión seguros y flexibles.
El valor de la autenticación multifactor no se limita a las redes de WordPress — las grandes empresas también recurren a ella. Tras varias violaciones de datos, T-Mobile ha invertido millones en mejorar sus medidas de ciberseguridad.
La empresa ha implantado informes periódicos de ciberseguridad elaborados por el Director de Seguridad de la Información para su consejo de administración, ha adoptado una arquitectura moderna de confianza cero y ha introducido métodos de autenticación multifactor.
Si utilizas un alojamiento administrado para WordPress, puedes aplicar 2FA y otras políticas a nivel de usuario con mayor facilidad en toda tu red. Los alojamientos como Kinsta soportan herramientas centralizadas e integraciones que te ayudan a aplicar normas de seguridad coherentes sin trabajo manual adicional.
Mantente alerta con las actualizaciones
Una red multisitio de WordPress segura depende de un mantenimiento regular, y eso empieza con las actualizaciones. Los archivos del core, temas y plugins desactualizados crean puntos de entrada fáciles para los atacantes. Estar al día no es opcional. Es una de las formas más eficaces de evitar brechas en tu red.
Activa las actualizaciones automáticas o gestiónalas manualmente con WP-CLI
Activa las actualizaciones automáticas de los archivos del core de WordPress para reducir el riesgo de perderte cambios críticos. Nuestros clientes pueden aprovechar el add-on más avanzado de Actualizaciones Automáticas de Kinsta para plug-ins y temas.
Esto garantiza que tu red reciba los últimos parches de seguridad en cuanto estén disponibles. Si prefieres un enfoque más práctico —especialmente en una red grande — utiliza WP-CLI para ejecutar actualizaciones manualmente por lotes. WP-CLI te permite programar actualizaciones a gran escala sin tener que entrar en cada sitio individualmente.
Utiliza sólo temas y plugins de confianza
Utiliza sólo plugins y temas de fuentes fiables, como el directorio de plugins de WordPress, el directorio de temas o desarrolladores de confianza. Los plugins pirateados o anulados suelen contener malware oculto, mientras que los obsoletos o abandonados dejan agujeros de seguridad enormes. Investiga siempre el historial de actualizaciones de un plugin, las opiniones de los usuarios y su compatibilidad antes de instalarlo en tu red.
Elimina todo lo que no utilices
Los plugins y temas no utilizados pueden parecer inofensivos, pero siguen suponiendo un riesgo, aunque estén desactivados. Los atacantes pueden atacar vulnerabilidades conocidas en estos archivos si permanecen en el servidor. Elimina todo lo que ya no utilices y mantén tu instalación lo más reducida posible. Menos sobrecarga significa menos cosas que parchear, controlar o de las que preocuparse.
En particular, cuando Spectora, una plataforma de software de inspección de viviendas, migró a Kinsta, notó una disminución del 15% en los tiempos de carga de la página y redujo los dolores de cabeza relacionados con la gestión del sitio.
Mantener un entorno limpio y actualizado, libre de plugins y temas innecesarios, desempeña un papel importante en este sentido.
Refuerza WordPress para resistir los ataques
Incluso con contraseñas seguras y software actualizado, tu red multisitio sigue siendo un objetivo. Los ataques de fuerza bruta, los exploits XML-RPC y los permisos de archivos mal configurados pueden dar a los atacantes una vía de entrada. Reforzar tu instalación reduce la superficie de ataque y refuerza tus defensas en todos los sitios de la red.
Limita los intentos de inicio de sesión
Los ataques de fuerza bruta se basan en repetidos intentos de inicio de sesión para adivinar nombres de usuario y contraseñas. WordPress no limita los intentos de inicio de sesión por defecto, lo que puede dejar tu red expuesta. Instala un plugin como Limit Login Attempts Reloaded para limitar el número de intentos permitidos desde una única IP.
Este sencillo paso bloquea los intentos automatizados de inicio de sesión y ralentiza a los bots maliciosos que intentan acceder a sitios individuales de tu red o a la propia red.
Desactiva XML-RPC a menos que lo necesites
XML-RPC permite el acceso remoto a WordPress, pero también introduce vulnerabilidades, especialmente en una configuración multisitio. A menos que lo utilices específicamente para conectar, por ejemplo, una aplicación móvil o un servicio externo, desactívalo.
Puedes hacerlo con un plugin como Disable XML-RPC API. Si necesitas un acceso parcial, algunos plugins te permiten restringir determinadas funciones XML-RPC manteniendo otras activas.
Establece permisos de archivo correctos
Los permisos de archivo inadecuados facilitan a los atacantes la modificación de los archivos del core, la inyección de código malicioso o el acceso con privilegios elevados. En una instalación de WordPress, los archivos deben tener normalmente permisos 644, y los directorios 755.
Evita a toda costa utilizar 777, ya que concede acceso total de lectura/escritura/ejecución a cualquiera. Comprueba y corrige regularmente los permisos de archivos y carpetas, especialmente después de añadir nuevos temas, plugins o scripts personalizados.
Aplica medidas de seguridad en toda la red
Proteger cada sitio individualmente es importante, pero cuando gestionas una red multisitio de WordPress, también necesitas aplicar protecciones en todo el sistema. Estas protecciones más amplias ayudan a proteger todos los sitios de las amenazas comunes y reducen la probabilidad de explotación masiva.
Utiliza un cortafuegos de aplicaciones web (WAF)
Un WAF inspecciona y filtra el tráfico entrante antes de que llegue a tus sitios, bloqueando solicitudes maliciosas como inyecciones SQL, scripts entre sitios y ataques de fuerza bruta. Servicios como Cloudflare ofrecen protección WAF personalizable, y los alojamientos administrados como Kinsta incluyen filtrado WAF de nivel empresarial como parte de su stack de alojamiento. Añadir esta capa adicional impide que los atacantes lleguen a tu instalación de WordPress desde el principio.
Imponer HTTPS en todos los sitios
El cifrado SSL protege los datos en tránsito y transmite confianza a los usuarios y a los motores de búsqueda. En una red multisitio, debes hacer obligatorio el uso de HTTPS en todos los sitios, ya sean públicos o internos.
Puedes utilizar un plugin como Really Simple Security para forzar el uso de HTTPS en toda la red, o gestionarlo en el servidor si tu proveedor lo admite.
En Kinsta, obtienes certificados SSL gratuitos para todos los dominios gracias a una integración con Cloudflare, lo que facilita la seguridad de cada sitio sin costes añadidos.
Cambiar el prefijo predeterminado de la tabla de la base de datos
Por defecto, WordPress utiliza el prefijo wp_ para todas las tablas de la base de datos. Los atacantes suelen buscar este patrón predecible cuando lanzan ataques automatizados de inyección SQL. Durante la configuración, sustituye el prefijo por defecto por algo único, como red1_ o una cadena aleatoria. Aunque esto por sí solo no detendrá a un atacante experto, reduce tu exposición a ataques automatizados comunes.
Restringe el acceso a los paneles de administración
El área de administración de WordPress sigue siendo un objetivo de gran valor. Limita el acceso a /wp-admin utilizando listas de IPs permitidas, VPNs o restricciones a nivel de servidor.
Por ejemplo, puedes bloquear todas las IP excepto la red de tu oficina o la VPN de tu equipo editando la configuración de .htaccess o NGINX. Esto reduce la posibilidad de que alguien intente entrar por fuerza bruta en tus paneles de administración, especialmente en sitios no utilizados o con poco tráfico en la red.
Monitoriza tu red multisitio de forma proactiva
Proteger tu red es sólo el principio. La seguridad también depende de detectar los problemas antes de que se agraven. Las herramientas de monitorización te ayudan a detectar comportamientos sospechosos, rastrear cambios y asegurarte de que tu red se mantiene en buen estado.
Con WordPress multisitio, la visibilidad en tiempo real de todos los sitios es aún más importante. Aquí tienes algunas formas de establecer prácticas de monitorización eficaces:
Utiliza el registro de actividad
Cada acción en tu red, como la instalación de plugins, los cambios de rol de los usuarios y los intentos de inicio de sesión, deja una marca, por así decirlo. Un registro de actividad te ayuda a rastrear qué ocurrió, cuándo y quién lo hizo.
Plugins como WP Activity Log proporcionan registros detallados de las acciones de los usuarios en todos los sitios, para que puedas investigar rápidamente comportamientos sospechosos o solucionar problemas del sitio. Para grandes redes con múltiples colaboradores, esto se convierte en una capa imprescindible de control y seguimiento.
Ejecuta escaneos de vulnerabilidades
Incluso con fuertes políticas de seguridad, aparecen nuevas vulnerabilidades todo el tiempo. Utiliza herramientas como Wordfence o Sucuri para programar escaneos automáticos de tu red. Estos plugins detectan software obsoleto, exploits conocidos, cambios en los archivos e inyecciones de malware. Incluso con alertas periódicas, puedes parchear los problemas antes de que se conviertan en brechas en toda regla.
Las instituciones más grandes, como la Universidad de Texas en Austin, modelan este tipo de enfoque proactivo a través de oficinas de seguridad centralizadas. La Oficina de Seguridad de la Información (ISO) de la universidad supervisa la respuesta a incidentes, incluida la detección de intrusiones en la red y las investigaciones forenses.
Se ocupa de las reclamaciones de seguridad y coordina los esfuerzos de recuperación en colaboración con la dirección ejecutiva. Esto demuestra lo valioso que es disponer de un proceso específico para identificar y responder rápidamente a las amenazas.
Monitoriza el rendimiento y el tiempo de actividad
Los problemas de seguridad no siempre se anuncian con una advertencia. A veces, un sitio hackeado simplemente se carga con lentitud o se desconecta sin explicación. Las herramientas de monitorización que rastrean el tiempo de actividad, los tiempos de respuesta del servidor y el uso de recursos te ayudan a detectar estas primeras señales de alarma. Si de repente un sitio empieza a consumir un ancho de banda inusual o se bloquea repetidamente, puede ser algo más que un fallo técnico. Podría ser señal de un ataque en curso.
Ten siempre un plan de copia de seguridad y recuperación ante desastres
Por muy bien que protejas tu red multisitio de WordPress, algo puede salir mal. No se sabe si será un error humano, una actualización fallida o un ataque dirigido. Por eso un plan fiable de copias de seguridad y recuperación no es negociable. Necesitas restaurar toda tu red con rapidez y confianza cuando ocurra lo inesperado, si surge la necesidad.
Automatiza las copias de seguridad diarias
Las copias de seguridad manuales no se adaptan a una red de varios sitios. Configura copias de seguridad diarias automatizadas que se ejecuten sin fallos. Kinsta lo simplifica incluyendo copias de seguridad completas de la red como parte de su plataforma de alojamiento administrada. Con las restauraciones con un solo clic, puedes volver a poner online todo tu entorno sin tener que rebuscar en los archivos o bases de datos de cada sitio. Estas copias de seguridad automáticas abarcan todos los sitios, medios, plugins, temas y contenido de la base de datos, lo que te da tranquilidad.
Almacena las copias de seguridad fuera del sitio
Almacenar las copias de seguridad sólo en tu servidor de alojamiento no sirve de nada si el propio servidor se ve comprometido. Utiliza almacenamiento externo como Google Drive, Dropbox o Amazon S3 para crear redundancia. Muchos plugins de copia de seguridad de WordPress, como UpdraftPlus, ofrecen integraciones con servicios de almacenamiento en la nube, por lo que puedes configurarlo una vez y dejar que se ejecute en segundo plano. Lo mismo ocurre con el alojamiento administado de Kinsta: el almacenamiento externo está disponible y es fácil de configurar.
Prueba regularmente tus restauraciones
Una copia de seguridad que nunca has probado no es una copia de seguridad, es una apuesta. Programa recuperaciones de prueba trimestrales para asegurarte de que tus copias de seguridad funcionan realmente. Esto te ayuda a verificar la integridad de los archivos, comprobar la compatibilidad de los plugins y confirmar que tu equipo conoce el proceso de recuperación. También te da una idea realista del tiempo que tardará la restauración de todo el sitio si tienes que hacerlo bajo presión.
Consejos para el control de accesos y plugins multisitio
Gestionar una red significa equilibrar flexibilidad y control. Quieres que los administradores de cada sitio gestionen su contenido, pero no a expensas de la seguridad de toda la red. Con los controles de acceso y las prácticas de gestión de plugins adecuados, mantienes la seguridad del sistema sin ralentizar a los equipos.
Limita el acceso a los paneles individuales
Los administradores a nivel de sitio sólo deben tener acceso al panel de control de su propio sitio. Evita conceder privilegios globales a menos que sea absolutamente necesario. De este modo se evitan cambios accidentales en la red y se limitan los daños en caso de que una sola cuenta de administrador de sitio se vea comprometida. Utiliza plugins de gestión de roles si es necesario para ajustar los permisos de tu base de usuarios.
Controla el acceso a los plugins por sitio
No todos los sitios de tu red necesitan las mismas herramientas. Dar a cada sitio acceso a todos los plugins crea riesgos innecesarios. En su lugar, utiliza un plugin como Beyond Multisite para habilitar o restringir plugins por sitio.
Esto mantiene las funciones innecesarias fuera del alcance de los administradores del sitio y reduce el número de elementos que debes monitorizar y actualizar.
Prueba nuevos sitios y funcionalidads en staging
Nunca introduzcas nuevos sitios, temas o plugins directamente en tu red activa. Configura un entorno staging para comprobar la compatibilidad, el rendimiento y la seguridad antes de ponerlo en marcha. Esto te ayudará a detectar errores, a detectar los acaparadores de recursos y a evitar introducir código que pueda desestabilizar la red. Si estás en un alojamiento como Kinsta, los entornos staging vienen integrados, lo que hace que las pruebas sean rápidas y seguras.
Potencia tu red con herramientas de gestión avanzadas
A medida que crece tu red, el mantenimiento manual se vuelve ineficaz y arriesgado. Las herramientas avanzadas te ayudan a gestionar los cambios a escala, reducir los errores humanos y crear un flujo de trabajo de desarrollo más seguro y fiable. Dos herramientas que merece la pena adoptar pronto son WP-CLI y Docker.
Utiliza WP-CLI para un control centralizado
WP-CLI, como ya se ha mencionado, es una interfaz de línea de comandos para WordPress que te proporciona un potente control sobre toda tu red multisitio. Ya lo mencionamos al hablar de las actualizaciones de plugins y del core, pero merece la pena destacarlo de nuevo como herramienta específica.
Con WP-CLI, puedes actualizar por lotes plugins y temas, restablecer contraseñas de usuario, activar o desactivar plugins en varios sitios y realizar actualizaciones del core, todo desde el terminal. Esto ahorra tiempo y reduce la posibilidad de que te pierdas una actualización o configures un plugin incorrectamente.
Utilizar Docker para desarrollo y staging
Docker te permite crear entornos aislados basados en contenedores que reflejan tu configuración de producción. Esto significa que puedes probar nuevos plugins, temas o código personalizado sin tocar tu red activa. Al ejecutar entornos staging localmente o en la nube, evitas problemas de compatibilidad por sorpresa y reduces el riesgo de introducir vulnerabilidades durante el desarrollo.
Docker también facilita la colaboración con los desarrolladores y garantiza entornos coherentes en todos los equipos. La herramienta DevKinsta de Kinsta para desarrolladores de WordPress se basa en Docker.
Alojamiento WordPress multisitio seguro con Kinsta
Elegir el proveedor de alojamiento adecuado marca una diferencia significativa en la seguridad y eficacia con la que puedes gestionar tu red multisitio. El alojamiento administrado de WordPress de Kinsta está diseñado para usuarios de multisitios y lo respalda con una sólida funcionalidad que abarca una instalación sencilla, rendimiento, escalabilidad y una sólida estructura de seguridad sin necesidad de intervención manual constante.
Kinsta admite configuraciones multi-sitio de subdominio, subdirectorio y mapeado de dominio, para que puedas estructurar tu red de la forma que tu organización necesite. Tanto si gestionas cinco sitios como 500, obtendrás el mismo elevado nivel de protección de seguridad en todos ellos.
Integración gratuita de Cloudflare con WAF de nivel empresarial
Kinsta incluye integración con Cloudflare en todos los planes, lo que te da acceso a un WAF de nivel empresarial. Esto filtra el tráfico malicioso antes de que llegue a tu red, bloqueando exploits comunes como inyección SQL, cross-site scripting y ataques de bots.
Escaneado de malware
Kinsta escanea tus sitios en busca de malware todos los días. Si tu red se ve comprometida, su equipo de seguridad interviene para limpiarla sin coste adicional. Esto te proporciona una red de seguridad que la mayoría de los alojamientos no ofrecen — y que es especialmente valiosa cuando eres responsable de docenas de sitios.
Arquitectura aislada basada en contenedores
Cada sitio de WordPress en Kinsta se ejecuta en su propio contenedor aislado. Esto significa que incluso en una configuración multisitio, los recursos están protegidos a nivel de servidor. Evitas el riesgo de que los problemas de un sitio, como picos de CPU o scripts maliciosos, afecten a otros. Es un nivel de aislamiento que añade ventajas de rendimiento a las mejoras de seguridad.
Por ejemplo, tras la migración de SkyrocketWP a Kinsta, se observaron mejoras significativas en el rendimiento, con una reducción de la velocidad de carga de las páginas de hasta un 81%.
Este éxito demuestra lo eficaz que es esta tecnología de contenedores aislados para mejorar la seguridad y el rendimiento.
Copias de seguridad diarias y manuales gratuitas con restauraciones en un clic
Kinsta realiza automáticamente copias de seguridad diarias de toda tu red multisitio, con la opción de crear copias de seguridad manuales en cualquier momento. La restauración de un sitio o de toda la red se realiza con un solo clic. Estas copias de seguridad lo incluyen todo: bases de datos, archivos, temas y plugins, ofreciéndote una cobertura total sin necesidad de configuración adicional.
SSL y CDN gratuitos incluidos
Cada sitio de tu red obtiene un certificado SSL gratuito, que garantiza conexiones HTTPS seguras en todos los dominios. También obtienes acceso a la CDN global de Kinsta, impulsada por Cloudflare, que acelera los tiempos de carga y añade otra capa de protección DDoS e integridad del contenido.
Kinsta se encarga de la seguridad del lado del alojamiento para que puedas centrarte en gestionar tu red, no en luchar contra las amenazas.
Resumen
Asegurar una red multisitio de WordPress significa colocar tus defensas en diferentes capas: roles de usuario fuertes, plugins verificados, actualizaciones regulares, copias de seguridad fiables y monitorización continua. Cada paso ayuda a reducir el riesgo en todos los sitios de la red.
Como todos los subsitios comparten el mismo core, una sola vulnerabilidad puede exponer todo el sistema. Por eso es importante una seguridad proactiva en toda la red.
El alojamiento administrado de Kinsta simplifica gran parte de este trabajo. Con copias de seguridad automáticas, escaneado de malware, un WAF basado en Cloudflare y contenedores aislados, Kinsta ofrece la seguridad sin intervención que los administradores de multisitios necesitan para estar protegidos a gran escala.
Steve Bonisteel es un Editor Técnico de Kinsta que comenzó su carrera de redactor como periodista de prensa escrita, persiguiendo ambulancias y camiones de bomberos. Lleva tratando temas relacionados con la tecnología de Internet desde finales de la década de 1990.
