Playbook · WordPress
WordPress hardening básico
Qué señales públicas puede mostrar tu WordPress y qué conviene revisar sin entrar al admin. Guía orientativa — no sustituye a un mantenimiento profesional.
Qué puede detectar TrustCheck en un WordPress
TrustCheck solo analiza información pública — no entra al panel de administración, no revisa plugins instalados ni versiones internas. Detecta señales visibles desde fuera: endpoints accesibles, cabeceras ausentes, cookies y señales de privacidad.
Que algo aparezca en el informe no significa que la web esté comprometida. Significa que hay señales mejorables.
Señales habituales y qué hacer
xmlrpc.php accesible
Punto de acceso legado activo por defecto. Ya no es necesario en la mayoría de instalaciones modernas y suele aparecer en listas de escaneo automatizado.
Acción recomendada
Desactivar vía .htaccess, plugin de seguridad (Wordfence, iThemes) o filtro en functions.php. Solo mantenerlo si usas Jetpack o apps móviles que lo requieran.
Cabeceras de seguridad ausentes
WordPress no añade cabeceras de seguridad por defecto. HSTS, X-Frame-Options y X-Content-Type-Options suelen faltar.
Acción recomendada
Añadir con un plugin de cabeceras o desde el servidor (Apache .htaccess / Nginx). Algunos plugins de caché incluyen esta opción.
Versión de WordPress visible
El generator tag en el head o el readme.html pueden revelar la versión exacta de WordPress.
Acción recomendada
Eliminar el generator tag vía functions.php (remove_action) y borrar o restringir readme.html y license.txt desde el servidor.
wp-json expuesto
La API REST de WordPress está activa por defecto y puede exponer lista de usuarios, posts y configuración básica.
Acción recomendada
Restringir endpoints no necesarios. Si no usas la API REST externamente, puedes limitar el acceso público con un plugin o filtro en functions.php.
Cookies sin SameSite
Las cookies de sesión de WordPress pueden no tener el atributo SameSite, lo que afecta a la compatibilidad con navegadores modernos.
Acción recomendada
Plugins como WP Cookies Settings o configuración en el servidor pueden forzar SameSite=Lax en las cookies de sesión.
¿Quieres una revisión completa de tu WordPress?
El pack TrustFix WordPress cubre señales públicas, xmlrpc, cabeceras, cookies y privacidad con revisión manual y recomendaciones concretas.