Logotipo renpo
Auditoría web Gratis

La teva web de WordPress no és tan segura com creus. I ho dic amb dades.

Índex de Continguts

Porto anys ajudant empreses amb la seva presència digital: SEO, analítica, rendiment web. Però en els últims mesos he afegit un capítol que no esperava — gestió d’atacs a webs de clients.

Només en els últims mesos hem monitoritzat 5 atacs diferents sobre llocs WordPress de clients. Tres es van bloquejar sense que el client s’arribés a assabentar. Els altres dos van causar caigudes reals: hores d’indisponibilitat en horari de trànsit alt, errors servits a Google i pèrdua de conversions. La diferència entre uns i altres va ser una sola cosa: en els que vam bloquejar, el manteniment tècnic el portàvem nosaltres.

Et explico això perquè tinc el Certificat de Professionalitat en Seguretat Informàtica (IFCT0109) i tot i així el missatge que em porto d’aquests últims mesos és clar: la seguretat web no és un extra. És infraestructura bàsica, com tancar la porta del teu local amb clau.

Aquesta guia no és perquè et converteixis en expert. És perquè entenguis què està passant allà fora, quins riscos té la teva web i què pots fer al respecte. Si després de llegir-la necessites ajuda, al final et comento com podem donar-hi un cop d’ull junts — sense cost.

Per què WordPress és l’objectiu favorit dels atacants

WordPress alimenta més del 43% de tots els llocs web del món. Això el converteix en el blanc més rendible per als atacants: si desenvolupes una eina d’atac que funciona contra WordPress, tens potencialment milions de víctimes possibles d’un sol cop.

Les dades del sector són contundents. El 2024 es van registrar gairebé 8.000 vulnerabilitats noves a l’ecosistema WordPress — connectors, temes, configuracions — un 34% més que l’any anterior, segons l’informe anual de Patchstack. I en el que portem del 2025, el ritme no ha baixat.

Que hi hagi tantes vulnerabilitats no significa que totes siguin igual de perilloses. La majoria tenen un impacte real limitat. Però les que sí que el tenen s’exploten ràpid: el temps mitjà entre que es publica una vulnerabilitat i el primer intent d’atac massiu és de menys de 5 hores.

Els 5 tipus d’atac més freqüents a WordPress

1. Força bruta: l’atac més simple i el més freqüent

Imagina que algú es planta davant de la porta del teu negoci i prova combinacions del pany, una rere l’altra, de manera automàtica i sense parar. Això és exactament un atac de força bruta sobre el panell d’administració de WordPress.

El problema és que l’adreça del panell d’administració de WordPress sempre és la mateixa per defecte. Tothom ho sap, inclosos els bots. Així que qualsevol script automatitzat sap exactament on apuntar.

Wordfence va bloquejar més de 55.000 milions d’intents d’atac de contrasenya només el 2024.

Un dels nostres clients va patir un episodi en què un bot va fer 3 intents d’inici de sessió en 1 segon. Sembla poc. Però va ser suficient perquè el servidor — compartit i amb recursos limitats — se saturés i la web caigués durant hores. No van robar res. Simplement la van tirar a terra.

Què pots fer: Limitar el nombre d’intents d’inici de sessió permesos, activar la verificació en dos passos per als administradors, i tenir una capa de protecció davant del servidor. Són mesures senzilles que marquen una diferència enorme.

2. Connectors desactualitzats: la porta del darrere més comuna

El 96% de les vulnerabilitats de WordPress estan als connectors, no al propi WordPress. Té sentit: WordPress té un equip de seguretat dedicat; els connectors els desenvolupa tot tipus de gent, i no sempre amb els mateixos estàndards.

El 43% de les vulnerabilitats detectades el 2024 no requerien cap compte a la teva web per ser explotades.

Una instal·lació WordPress mitjana té entre 15 i 25 connectors actius. Cada connector desactualitzat és una possible porta d’entrada. I si tens connectors instal·lats però desactivats — també són un risc. Un connector desactivat continua sent codi al teu servidor.

En un dels casos que vam gestionar vam trobar arxius maliciosos inserits directament a carpetes del nucli de WordPress. L’origen probable va ser un connector en versió obsoleta. Un cop dins, van instal·lar portes del darrere que els permeten tornar encara que es detecti i es netegi l’atac inicial.

Què pots fer: Actualitzar connectors regularment, eliminar els que no fas servir, i tenir algun sistema que avisi si alguna cosa canvia als arxius de la teva web. El manteniment no és glamurós, però és el que evita aquests problemes.

3. Atacs DDoS: quan l’objectiu és tombar-te la web

Un atac DDoS no busca robar dades ni accedir al teu panell. Busca saturar el teu servidor amb tanta activitat falsa que els usuaris reals no hi puguin entrar. Com bloquejar l’entrada del teu local perquè els clients no puguin passar.

Els atacs DDoS van augmentar un 121% el 2025, segons l’informe de Cloudflare. Una mitjana de més de 5.000 atacs mitigats cada hora.

Els atacs de gran escala van dirigits a infraestructures grans. Però els de baixa i mitjana intensitat són igual d’eficaços per tombar una web en allotjament compartit. I aquests sí que afecten webs d’empreses normals.

Un altre dels nostres clients va patir dues caigudes en menys d’una setmana. En la segona, la web va estar fora de línia més de 3 hores en horari de màxim trànsit. Els registres mostraven que un bot continuava enviant peticions de manera repetida durant hores, mantenint el servidor saturat fins i tot després que la web ja hagués caigut.

Què pots fer: La solució més efectiva és posar una capa de protecció intel·ligent entre la teva web i el món exterior — el que s’anomena una CDN amb WAF. Filtra el trànsit maliciós abans que arribi al teu servidor. Cloudflare és l’opció més habitual i té pla gratuït, tot i que configurar-lo bé amb la teva web requereix cert coneixement tècnic.

4. Reconeixement automatitzat: els bots que curiosegen

Abans de qualsevol atac real, els bots fan reconeixement. És com si algú passegés davant del teu negoci anotant quin pany tens, si hi ha càmeres, quan obres i si hi ha alguna finestra sense tancar.

A WordPress això significa peticions automatitzades buscant arxius de configuració exposats, versions de connectors instal·lats, noms d’usuari vàlids… informació que després es fa servir per llançar atacs més precisos.

Vam veure això exactament en un dels nostres casos: una IP des d’Indonèsia va fer durant hores peticions sistemàtiques buscant informació útil. Tot va quedar registrat als registres del servidor. Ningú els estava llegint.

Què pots fer: Bloquejar l’accés a rutes i arxius sensibles, ocultar la versió de WordPress i connectors que fas servir, i revisar periòdicament els registres d’accés del servidor. O tenir algú que ho faci per tu.

5. Hackeig i programari maliciós: quan ja han entrat

Si un atacant aconsegueix accedir al teu WordPress, el seu primer objectiu no és fer mal immediat. És quedar-se. Per fer-ho insereixen arxius que els permeten tornar encara que canviïs contrasenyes o reinstal·lis connectors — el que es coneix com a portes del darrere o backdoors.

Aquests arxius solen amagar-se en llocs poc habituals amb noms que imiten arxius legítims. Sense monitorització activa, poden estar-hi setmanes o mesos sense que ningú ho detecti.

Les conseqüències van més enllà del tècnic: Google detecta programari maliciós i pot mostrar advertències directament als resultats de cerca. Això destrueix la confiança de l’usuari d’un dia per l’altre. Si a més hi ha dades d’usuaris compromeses, el RGPD obliga a notificar l’incident a l’AEPD en un termini de 72 hores.

Què pots fer: Còpies de seguretat freqüents guardades fora del servidor, monitorització de la integritat dels arxius, i un protocol clar de resposta. Si detectes un hackeig, el primer és no tocar res fins a fer una còpia — aquest forense és clau per entendre com hi van entrar.

L’impacte en SEO que quasi ningú menciona

Cada caiguda té un cost de posicionament que s’acumula en silenci. Quan la teva web retorna errors, Google els registra. Si són puntuals i es recuperen ràpid, l’impacte és mínim. Si es repeteixen, Google redueix la freqüència amb què rastreja la teva web — i això alenteix la indexació de contingut nou i pot provocar caigudes de posicions.

Si et preguntes com funciona el posicionament web i per què l’estat tècnic del teu lloc importa tant, la resposta curta és que Google premia la fiabilitat. Una web que cau amb freqüència no és fiable.

Després de cada incident que gestionem, el primer que fem és revisar Google Search Console durant els dies següents: si pugen els errors de cobertura, si baixen les impressions, si hi ha alguna acció manual activada. En la majoria de casos l’impacte SEO és recuperable — però requereix seguiment actiu.

Si la teva web mai ha passat per una revisió tècnica del lloc orientada a SEO, és probable que hi hagi punts de millora que afecten tant el posicionament com la seguretat.

El mínim que hauria de tenir la teva web

Sense entrar en tecnicismes, això és el que qualsevol web d’empresa hauria de tenir cobert:

L’imprescindible

  • WordPress, connectors i temes sempre actualitzats
  • Contrasenyes robustes i verificació en dos passos per a l’administrador
  • Còpies de seguretat automàtiques diàries guardades fora del servidor
  • Una CDN amb WAF davant del servidor (Cloudflare és el més habitual)
  • Monitorització de disponibilitat per saber si la web cau

El que marca la diferència

  • Un connector de seguretat ben configurat, no només instal·lat
  • Revisió periòdica de registres i alertes davant d’activitat sospitosa
  • PHP en versió suportada i actualitzada
  • Allotjament amb recursos dedicats per a webs de negoci

Si la teva web es va dissenyar fa temps i mai s’ha revisat a fons, és molt probable que algun d’aquests punts estigui sense cobrir. Un redisseny web que inclogui una revisió tècnica completa pot ser la manera més eficient de posar-se al dia d’una vegada.

La seguretat no és un projecte puntual

La seguretat web no es “resol” d’una vegada. És manteniment continu: actualitzacions, revisió de registres, monitorització, resposta davant d’incidents. Igual que no netegen el teu local una vegada i ja n’hi ha prou per sempre.

Si portes la teva web tu mateix i després de llegir això no tens clar si estàs cobert, probablement no ho estàs del tot. No és una crítica — la majoria d’empreses no tenen per què saber d’això. Per a això hi som nosaltres.

A Renpo portem el manteniment tècnic i la seguretat de llocs WordPress des d’una perspectiva que combina el tècnic amb l’estratègic: perquè el que li passi a la teva web li passa també a la teva estratègia de posicionament als cercadors a llarg termini. I això ens importa tant com a tu.

🔍 Auditoria gratuïta: SEO + seguretat

Revisem la teva web sense cost i sense compromís. Analitzem tant l’estat de posicionament com els punts de vulnerabilitat de seguretat més habituals: configuració del servidor, connectors desactualitzats, exposició d’arxius sensibles, estat de les còpies de seguretat i més.

Si vols saber en quin punt està la teva web abans que ho descobreixi un atacant o Google, sol·licita l’auditoria gratuïta aquí.

Fonts:

  • Patchstack — State of WordPress Security 2025
  • Cloudflare — DDoS Threat Report Q4 2025 & Q1 2025
  • Wordfence — Annual WordPress Security Report 2024
  • SecurityWeek — 8.000 noves vulnerabilitats WordPress el 2024

Picture of Renpo

Renpo

Totes les publicacion

Feu un comentari

Més
articles
ico renpo

Escriu-nos

Powered by Renpo

Manteniment WordPress

Com funciona WordPress?​

La teva pàgina web està feta amb WordPress, el gestor de continguts per a creació de webs més popular del mercat. És un sistema robust i flexible que permet que fer pàgines de tot tipus: blocs, corporatives, botigues online, etc.

També, per ells, és un programari complex i que rep constants actualitzacions per millorà el seu rendiment, afegir noves funcionalitats i evitar problemes de seguretat.

WordPress augmenta les seves possibilitats amb els plugins, que són extensions complementàries que instal·les per cobrir una necessitat concreta. Per exemple, hi ha plugins per captar subscriptors, posar un xat de suport a la teva web, millorar la velocitat de càrrega, col·locar botons per compartir en xarxes socials, afegir passarel·les de pagament … pràcticament tot el que se t’ocurreixi.

Tant la versió de WordPress com els plugins instal·lats en la teva web han d’estar actualitzats a l’última versió per garantir el correcte funcionament de la teva pàgina. El problema d’això és que pot sorgir incompatibilitats entre ells.

Què aconsegueixes amb el manteniment?
  • Mantenir actualitzat WordPress i els plugins instal·lats
  • Resolució de possibles incompatibilitats entre ells
  • Còpies de seguretat setmanals de la web actualitzades en un servidor propi extern
  • Recuperació del web en cas de desastre
  • Suport i resolución de dubtes via email

El manteniment no inclou actualització de contingut ni modificacions de la pàgina web a petició de client. Per Això, és aconsellable contractar una borsa de treball a part.

Mantenimiento WordPress

¿Cómo funciona WordPress?

Tu página web está hecha en WordPress, el gestor de contenidos para creación de webs más popular del mercado. Es un sistema robusto y flexible que permite hacer páginas de todo tipo: blogs, corporativas, tiendas online, etc.

También, por ello, es un software complejo y que recibe constantes actualizaciones para mejorar su rendimiento, añadir nuevas funcionalidades y evitar problemas de seguridad.

WordPress aumenta sus posibilidades con los plugins,que son extensiones complementarias que instalas para cubrir una necesidad concreta. Por ejemplo, hay plugins para captar suscriptores, poner un chat de soporte en tu web, mejorar la velocidad de carga, colocar botones para compartir en redes sociales, añadir pasarelas de pago… prácticamente todo lo que se te ocurra hacer. Los plugins también tienen sus actualizaciones propias, que son enviadas por los desarrolladores de los mismos.

Tanto la versión de WordPress como los plugins instalados en tu web deben estar actualizados a su última versión para garantizar el correcto funcionamiento de tu página. El problema de esto es que pueden surgir incompatibilidades entre ellos.

¿Qué consigues con el mantenimiento?
  • Mantener actualizado WordPress y los plugins instalados
  • Resolución de posibles incompatibilidades entre ellos
  • Copias de seguridad semanales de tu web actualizadas en un servidor propio externo
  • Recuperación de la web en caso de desastre
  • Soporte y resolución de dudas vía email

 

El mantenimiento no incluye actualizaciones de contenido ni modificaciones de la página web a petición del cliente. Para ello, es aconsejable contratar una bolsa de trabajo aparte.

Resum de la privadesa
Logotipo renpo

Aquest lloc web utilitza galetes per tal de proporcionar-vos la millor experiència d’usuari possible. La informació de les galetes s’emmagatzema al navegador i realitza funcions com ara reconèixer-vos quan torneu a la pàgina web i ajuda a l'equip a comprendre quines seccions del lloc web us semblen més interessants i útils.

Galetes estrictament necessàries

Les galetes estrictament necessàries han d'activar-se sempre perquè puguem desar les preferències per a la configuració de galetes.

Analítiques

Aquest lloc web utilitza Google Analytics per recopilar informació anònima com el nombre de visitants del lloc i les pàgines més visitades.

El mantenir aquesta galeta habilitada ens ajuda a millorar el lloc web.