Seguridad en Hosting: WAF, DDoS y Protección de Datos [2026]

La seguridad en hosting se basa en múltiples capas de protección que deben funcionar juntas. Ninguna medida por separado es suficiente: necesitas un WAF que filtre ataques web, protección DDoS que absorba tráfico malicioso, SSL que cifre las comunicaciones, backups para recuperarte de incidentes, y configuración correcta del servidor. El 90% de los hackeos de WordPress ocurren por plugins desactualizados o contraseñas débiles — problemas que no tienen nada que ver con el proveedor de hosting sino con la gestión del sitio.

WAF (Web Application Firewall): tu primera línea de defensa

¿Qué es y contra qué protege?

Un WAF analiza el tráfico HTTP/HTTPS y bloquea peticiones maliciosas antes de que lleguen a tu web. Protege contra los ataques más comunes según el OWASP Top 10:

• Inyección SQL: intentos de manipular tu base de datos mediante URLs o formularios maliciosos
• Cross-Site Scripting (XSS): inyección de código JavaScript en tu web para atacar a visitantes
• File inclusion (LFI/RFI): intentos de incluir archivos maliciosos en el servidor
• Bots maliciosos: scrapers agresivos, scanners de vulnerabilidades, credential stuffing
• Fuerza bruta: intentos masivos de login con contraseñas diferentes

Opciones de WAF según presupuesto

Para la mayoría de webs WordPress: ModSecurity en el hosting + Cloudflare gratuito + Wordfence gratuito proporciona una protección adecuada sin coste. Las tres capas combinadas bloquean el 95%+ de los ataques automatizados.

Protección DDoS: absorbiendo el tráfico malicioso

¿Qué es un ataque DDoS?

Un ataque de Denegación de Servicio Distribuido inunda tu servidor con millones de peticiones desde miles de dispositivos comprometidos (botnet). El objetivo es hacer tu web inaccesible para visitantes reales. Los ataques van desde pequeños floods de 1 Gbps hasta ataques de más de 1 Tbps en casos extremos.

Niveles de protección DDoS

• Protección básica de datacenter (L3/L4): todos los hostings de calidad tienen protección contra ataques volumétricos básicos (< 10-20 Gbps). Incluida en todos los planes sin coste extra en proveedores como Clouding.io, IONOS, OVHcloud.
• Cloudflare gratuito: actúa como proxy entre Internet y tu servidor, absorbiendo ataques antes de que lleguen. Protección L3/L4 ilimitada incluida en el plan gratuito. Es la opción más eficaz a coste cero.
• Protección L7 (aplicación): bloquea ataques más sofisticados que imitan tráfico legítimo. Disponible en Cloudflare Pro y superiores, o en hosting premium como Kinsta.
• OVHcloud Anti-DDoS: protección de hasta 1 Tbps incluida en sus servidores. Especialmente buena para servidores dedicados.

¿Qué nivel necesitas?

Para la mayoría de webs: Cloudflare gratuito es suficiente. Los ataques DDoS dirigidos a webs pequeñas son raros — el 99% son ataques automatizados a IPs detectadas como vulnerables. Al estar detrás de Cloudflare, tu IP real del servidor está oculta, lo que elimina la mayor parte del riesgo.

Seguridad WordPress: los puntos más críticos

Actualización de plugins: el vector de ataque más común

El 65% de los hackeos de WordPress ocurren por vulnerabilidades en plugins desactualizados. El flujo típico de un ataque: alguien publica una vulnerabilidad en un plugin → los bots la explotan masivamente en horas → las webs sin actualizar quedan comprometidas. Solución: activar actualizaciones automáticas de plugins y temas, o revisar semanalmente.

Contraseñas y acceso al admin

• Contraseña mínima de 16 caracteres con letras, números y símbolos
• Autenticación de doble factor (2FA) — plugins como WP 2FA o Google Authenticator
• Cambiar la URL de acceso (/wp-login.php → /mi-acceso/) para evitar bots que atacan la URL por defecto
• Limitar intentos de login fallidos (plugin Limit Login Attempts Reloaded)
• Desactivar el usuario «admin» si existe (es el username que los bots prueban primero)

Permisos de archivos correctos

Directorios: 755 (propietario puede escribir, otros solo leer)
Archivos PHP: 644
wp-config.php: 440 o 400 (solo lectura del propietario)
.htaccess: 644

Permisos incorrectos (777 en directorios, 666 en archivos) permiten que código malicioso modifique archivos del servidor.

Cabeceras de seguridad HTTP

Protegen contra ataques específicos sin instalar nada en WordPress. Configúralas en .htaccess o en Cloudflare:

• Strict-Transport-Security (HSTS): fuerza HTTPS siempre. Evita ataques man-in-the-middle.
• X-Frame-Options: DENY: evita que tu web sea cargada dentro de un iframe de otra web (clickjacking).
• X-Content-Type-Options: nosniff: evita que el navegador interprete archivos con tipos MIME incorrectos.
• Content-Security-Policy (CSP): define qué recursos externos puede cargar tu web. Bloquea XSS avanzados.

Seguridad en VPS: lo que el hosting compartido gestiona por ti

En un VPS no gestionado, la seguridad del sistema operativo es responsabilidad tuya. Lista de verificación básica:

• Actualizaciones automáticas del OS: unattended-upgrades en Ubuntu/Debian
• Firewall UFW: solo abrir puertos necesarios (22 SSH, 80 HTTP, 443 HTTPS)
• SSH con clave pública: deshabilitar autenticación por contraseña en /etc/ssh/sshd_config
• Fail2ban: bloquea IPs con intentos de login fallidos repetidos (SSH, WordPress, etc.)
• No ejecutar servicios como root: crear usuario específico para cada servicio
• Monitorización de logs: revisar /var/log/auth.log para detectar intentos de intrusión

RGPD y hosting: cumplimiento en España

El Reglamento General de Protección de Datos (RGPD) de la UE establece que los datos personales de ciudadanos europeos deben almacenarse y procesarse con garantías específicas. Implicaciones para tu hosting:

• Datos en la UE: si recoges datos de usuarios europeos (formularios de contacto, WooCommerce, newsletter), el servidor debe estar en la UE. Proveedores con DC en España o UE cumplen automáticamente. AWS, GCP y Azure en regiones europeas también.
• DPA (Data Processing Agreement): tu proveedor de hosting procesa datos en tu nombre — necesitas un DPA firmado con él. La mayoría de proveedores europeos lo ofrecen automáticamente en sus contratos.
• Logs de acceso: los logs del servidor contienen IPs (dato personal). Configura una retención máxima de 30 días y documenta el tratamiento.
• Malware y brechas: el RGPD exige notificar brechas de seguridad a la AEPD en 72 horas. Necesitas saber que ha ocurrido un incidente — de ahí la importancia del monitoreo.

Herramientas de monitoreo de seguridad

• Sucuri SiteCheck: escáner de malware gratuito online. Detecta malware externo visible
• Wordfence (plugin): escáner de archivos WordPress, detección de cambios en el core
• WPScan: herramienta profesional para auditar vulnerabilidades en WordPress
• SSL Labs (ssllabs.com/ssltest): analiza la configuración TLS/SSL del servidor
• Security Headers (securityheaders.com): verifica las cabeceras de seguridad HTTP
• Uptime Robot: monitorización de disponibilidad gratuita (notifica si la web cae)

¿Para quién es suficiente la seguridad básica?

Seguridad básica (WAF del hosting + Cloudflare gratuito) suficiente para: blogs, webs corporativas sin datos sensibles, portfolios, webs informativas.

Necesitas seguridad reforzada si: procesas pagos, almacenas datos de salud o financieros, eres objetivo potencial de ataques dirigidos (medios de comunicación, política, activismo), o tienes obligaciones de compliance específicas (PCI DSS para pagos, LOPD reforzada).

Preguntas frecuentes

¿Cómo sé si mi web ha sido hackeada?

Señales de alerta: Google muestra «This site may be hacked» en los resultados, tu hosting te envía notificación de malware, los visitantes reportan redirecciones a webs desconocidas, ves archivos PHP desconocidos en el servidor, tu web envía spam masivo (notificación del proveedor), o el tráfico aumenta drásticamente sin explicación. Ante cualquiera de estas señales, actúa inmediatamente: pone la web en modo mantenimiento, escanea con Sucuri o Wordfence, y restaura desde un backup limpio si hay compromiso.

¿El hosting se encarga de la seguridad de mi web?

El hosting garantiza la seguridad de la infraestructura (servidor, red, datacenter). La seguridad de tu aplicación (WordPress actualizado, contraseñas seguras, plugins sin vulnerabilidades) es tu responsabilidad. Esta distinción es importante: puedes tener el hosting más seguro del mundo y ser hackeado por tener un plugin desactualizado. La seguridad es colaborativa.

¿Cloudflare gratuito es suficiente para proteger mi web?

Para la mayoría de webs, sí. Cloudflare gratuito incluye: protección DDoS L3/L4 ilimitada, WAF básico (con algunas reglas), filtrado de bots, SSL, y ocultación de la IP real del servidor. Sus limitaciones frente al plan Pro: menos reglas de WAF, sin IP Firewall avanzado, sin Argo Smart Routing. Para webs con ingresos significativos, considerar el paso a Pro (20$/mes).

¿Debo usar un plugin de seguridad si ya tengo Cloudflare?

Sí, son complementarios. Cloudflare protege a nivel de red y CDN, antes de que el tráfico llegue a tu servidor. Wordfence protege a nivel de aplicación WordPress: escanea archivos, detecta cambios en el core, monitoriza intentos de login y puede bloquear IPs a nivel de PHP. Tener ambos es la mejor combinación para WordPress.

¿Qué hago si encuentro malware en mi web?

Proceso recomendado: (1) Pone la web en modo mantenimiento para proteger a tus visitantes. (2) Identifica la extensión del compromiso con Wordfence o Sucuri. (3) Cambia TODAS las contraseñas (WordPress admin, FTP, BD, hosting). (4) Si el hosting ofrece restauración de backup, restaura desde el último punto limpio antes de la infección. (5) Si no puedes restaurar, limpia manualmente: elimina archivos desconocidos, reinstala el core de WordPress, actualiza todos los plugins y temas. (6) Instala un WAF antes de volver a poner la web en producción. (7) Investiga cómo entraron para cerrar la vía de acceso.