Verificador de Seguridad de WordPress
Verifica cualquier sitio WordPress en busca de problemas de seguridad comunes: archivos expuestos, señales de versión desactualizada, exposición de página de login, XML-RPC y enumeración de usuarios.
Cómo usar Verificador de Seguridad de WordPress
- 1Introduce la URL de tu sitio WordPress.
- 2Nuestro escáner verifica las configuraciones incorrectas de seguridad comunes de WordPress y los endpoints expuestos.
- 3Revisa cada hallazgo con su nivel de gravedad y la corrección recomendada.
- 4Aplica los pasos de endurecimiento recomendados para reducir tu superficie de ataque.
ZenovayAnalytics
Analytics sin ningún aviso de cookies.
- Seguimiento de visitantes en tiempo real
- Privacidad primero, sin aviso de cookies
- Configurado en dos minutos
Herramientas relacionadas
Generador de Contraseñas
Genera contraseñas fuertes y aleatorias con longitud, caracteres y complejidad personalizables.Verificador de Fortaleza de Contraseña
Verifica qué tan fuerte es tu contraseña. Obtén un tiempo estimado de descifrado y sugerencias de mejora.Generador HMAC
Genera firmas HMAC usando SHA-256, SHA-384 o SHA-512 con la API Web Crypto.Cifrado/Descifrado AES
Cifra y descifra texto usando AES-GCM con derivación de clave PBKDF2. Se ejecuta completamente en tu navegador.Preguntas frecuentes
¿Qué prueba este verificador de seguridad de WordPress?▾
Comprueba 12 problemas de seguridad comunes de WordPress: información de versión expuesta, accesibilidad de readme.html y license.txt, endpoint XML-RPC, protección de la página de inicio de sesión, enumeración de usuarios de la API REST, exposición de wp-cron, acceso al script de instalación, copias de seguridad de wp-config, HTTPS y cabeceras de seguridad.
¿Es seguro escanear mi propio sitio WordPress?▾
Sí. Esta herramienta solo realiza solicitudes HTTP estándar a páginas de acceso público: las mismas solicitudes que haría cualquier navegador web o rastreador de motor de búsqueda. No se usan autenticación, intentos de fuerza bruta ni payloads de exploits.
¿Por qué es XML-RPC un riesgo de seguridad?▾
XML-RPC es una API de llamada a procedimiento remoto heredada en WordPress. Permite hasta 500 intentos de inicio de sesión por única solicitud XML-RPC (multicall), lo que permite ataques de fuerza bruta que eluden la limitación de velocidad. También se usa en ataques de amplificación de pingback DDoS. Desactívelo a menos que lo necesite específicamente.
¿Qué es la enumeración de usuarios y por qué es un riesgo?▾
La API REST de WordPress en /wp-json/wp/v2/users expone públicamente los nombres de usuario. Los atacantes pueden recuperar todos los nombres de usuario de administrador y usarlos en ataques de fuerza bruta o relleno de credenciales dirigidos. Bloquear este endpoint elimina uno de los vectores de ataque.
¿Cómo oculto mi versión de WordPress?▾
Añada `remove_action("wp_head", "wp_generator");` al functions.php de su tema. También elimine readme.html y license.txt del directorio raíz de WordPress. Use un plugin de seguridad como Wordfence, iThemes Security o Solid Security para el endurecimiento automatizado.
¿Por qué se marca mi página de inicio de sesión como problema?▾
La página wp-login.php debe existir para el acceso de administrador, pero es un objetivo común para ataques de fuerza bruta. La recomendación es añadir limitación de velocidad (la mayoría de los plugins de seguridad lo hacen), habilitar la autenticación de dos factores o usar la inclusión en lista blanca de IPs para el acceso a wp-admin.
¿Esta herramienta comprueba plugins o temas vulnerables?▾
No. La comprobación de vulnerabilidades de plugins y temas requiere acceso autenticado a su panel de administración de WordPress o wp-cli. Use WPScan, Patchstack o Wordfence para el escaneo de vulnerabilidades de plugins. Esta herramienta se centra en las configuraciones de seguridad incorrectas visibles públicamente.