Si administras sitios de WordPress, una de las cosas que debes tener en mente es la seguridad de tus sitios.
Todos los sitios, sin importar cuan insignificantes estos sean, puedes ser el objetos de ataques con el fin de vulnerarlos.
En este post encontrarás algunos consejos de seguridad para tu sitio de WordPress para reducir las posibilidades de que tu sitio sea hackeado
Por supuesto que yo no aplico cada una de estas recomendaciones, porque mis sitios son básicamente son blogs que yo solo administro.
Pero hay sitios que probablemente requieran aplicar algunos de estos consejos.
Table of Contents
- #1 Hosting para WordPress Seguro
- #2 Realizar un Respaldo de Tu Sitio de WordPress
- #3 Usar un Web Application Firewall (WAF)
- #4 No Uses Temas y Plugins de WordPress Nulos
- #5 Usuarios y Contraseñas en WordPress
- #6 Resto de los Usuarios y Contraseñas
- #7 Mantener WordPress, Plugins y Temas Actualizados, PHP y otros
- #8 Bloquear Acceso a la Base de Datos, Acceso SFTP Y SSH
- #9 Cloudflare Turnstile
- #1 No Permitir Nuevos Registros en WordPress
- #2 Cierres de Sesión Automáticos en WordPress
- #3 Usar Certificados de Seguridad
- #4 Escanear tu Sitio de WordPress con Regularidad
- #5 Cambiar el Permiso de Ciertos Archivos
- #6 Utilizar Protección contra HotLinking
- #7 Detener Bots Maliciosos
- #8 Detener la Numeración del Usuario
- #9 Prevención de Spam
- #10 Remover la Información de Versión de WordPress
- #11 Cambiar el Prefijo de la Base de Datos
- #12 Desactivar el XMLRPC.PHP en WordPress
- #13 Bloquea los Ataques de Fuerza Bruta
- #14 Bloquear la Dirección IP
- #15 Usar Autenticación de Dos Factores
- #16 Poner Preguntas de Seguridad a la Página de Acceso
- #17 Desactivar la Navegación del Directorio
- #18 Detener la Edición de Archivos PHP desde el Escritorio
- #19 Desactivar la Ejecución de Archivos PHP
- #20 Actualiza las Llaves de Seguridad de WordPress.
- #21 Implementar Seguridad de HTTP Headers
- #22 Usar un Plugin de Auditoría
- #23 Realiza Test de Seguridad
- #24 Monitorear los Errores 404
- #25 ¿Esta tu Sitio de WordPress en Linea?
- #26: Proteger Archivo WP-Config.PHP
- #27 Detener Script Injection
- #28 Revisar si tus Credenciales están expuestos en la Dark Web
- #29 Re-nombrar la carpeta de Plugins
#1 Hosting para WordPress Seguro
Debemos tener claro que no importa que proveedor de hosting uses, tu sitio puede ser hackeado.
Te puede pasar en GoDaddy, Cloudways, SiteGround, Rocket.net.
Habiendo dicho eso, hay proveedores de hosting en los que los sitios de WordPress tienden a ser más propensos a ser hackeados que en otros.
Toma en cuenta que el negocio de algunos proveedores de Hosting radica en que si tu sitio es hackeado, usted necesitará ayuda y ellos estarán en primera línea para ofrecer esa ayuda por un monto a cambio.
Escoge una serie de criterios que debe tener tu proveedor de hosting antes de hospedar tu sitios en este.
Nota: La elección de tu proveedor de hosting es tu completa responsabilidad.
#2 Realizar un Respaldo de Tu Sitio de WordPress
Uno de los mejores consejos de seguridad es tener un respaldo de tu sitio en tu computadora o en un sitio de almacenamiento remoto.
Si sufres de un ataque de un hacker puedes restaurar una copia de tu sitio que no esté infectada en otro servidor mientras investigas lo que pudo llevar al hackeo en primer lugar.
Asegúrate no alojar los respaldos en tu servidor ya que los hackers buscan copias de estos en las instalaciones de los sitios de WordPress
Yo trato de realizar respaldos de mis sitios cada vez que estos sufren grandes actualizaciones o se les agrega mucho contenido.
Hay muchos plugins que te permitirán respaldar tu sitio en caso de hackeo
- Si tienes un sitio que raramente sufre cambios, un respaldo semanal o mensual es suficiente.
- Si tienes un e-commerce, debes usar un plugin que realice respaldos automáticos com cierta regularidad.
No confíes los respaldos de tu sitio a tu proveedor de hosting, por más buena reputación que estos tengan.
Nota: Aunque los buenos proveedores de hosting hacen respaldos automáticos, tu eres el responsable de tu sitio y debes tener respaldos que se puedan usar en caso de un evento fortuito.
#3 Usar un Web Application Firewall (WAF)
Un web application firewall es una medida de seguridad que previene los ataques de bots y hackers.
Un web application firewall puede bloquear bots y el acceso a archivos importantes de tu sitio como las páginas de acceso y otros archivos importantes.
Uno de los mejores web application firewalls es CloudFlare.
Cloudflare permite la creación de 5 reglas personalizadas en su WAF.
Con conocimientos básicos, yo he podido generar reglas que bloquean todos los ataques de fuerza bruta y el acceso a partes exclusivas de mi sitio que solo los administradores deben accesar.
Nota: Si no tienes un buen argumento en contra de usar CloudFlare, te invito a sacar provecho de todos sus servicios gratuito. No hay mejor que administrar tu propio WAF.
#4 No Uses Temas y Plugins de WordPress Nulos
Uno de los grandes problemas es que los usuarios por el deseo de usar un producto premium descargan temas y plugins nulos.
La práctica de usar plugins y temas nulos o sin licencia es maś común de los que creemos.
Yo he descargado temas y plugins nulos para realizar pruebas en un ambiente local, pero en este momento, yo no uso temas o plugins premium, por los cuales no este pagando una subscripción.
Hay sitios donde se pueden bajar temas y plugins nulos gratuitos o a un muy bajo costo y que no contienen malware.
Si usas esa ruta, tienes que saber muy bien lo que haces y tener una respuesta en el peor de los escenarios.
Nota: Si no sabes migrar un sitio, limpiar la instalación o la base de datos, mejor ni te metas en el juego de usar temas o plugins nulos.
#5 Usuarios y Contraseñas en WordPress
Si alguna vez has visto una lista de los intentos fallidos para vulnerar tu sitio, vas a descubrir que los hackers tratan de vulnerar tu sitio por medio de ataques de fuerza bruta
Los intentos son automatizados y prueban una gran cantidad de usuarios y contraseñas en pocos minutos
- Crea un usuario complejo de descifrar
- Crea una contraseña compleja de descifrar
Asegúrate de usar una contraseña que sea una combinación de letras minúsculas, mayusculas, números y caracteres.
Tambien asegúrate que tu display name o nickname de WordPress no sea tu nombre de usuario.
Si tu sitio es vulnerado con un ataque de fuerza bruta es porque eres un tonto, ya que esos ataques son realizados con listas de usuarios y contraseñas que solo un tonto usaría.
De los sitios hackeados cada año, aproximadamente un 7% se debía a un exitoso ataque de fuerza bruta.
Nota: Usa un gestor de contraseñas seguro como BitWarden y usa usuarios y contraseñas imposibles de recordar.
#6 Resto de los Usuarios y Contraseñas
No creas que la contraseña de tu sitio es la única que importa:
Tambien debes usar contraseñas seguras para:
- La base de datos.
- Acceso SFTP.
- Proveedor de Hosting.
- Registrador de dominio.
- Correo Electrónico
- Acceso SSH
Nota: Usa un gestor de contraseñas seguro como BitWarden y usa usuarios y contraseñas imposibles de recordar.
#7 Mantener WordPress, Plugins y Temas Actualizados, PHP y otros
Un consejo básico para mantener la seguridad es actualizar WordPress, plugins y los temas de tu sitio.
En ocasiones WordPress, los temas y los plugins son actualizados cuando vulnerabilidades son encontradas en estos
Si estas subscrito a boletines de seguridad de WordFence, PatchStack y SolidWP, encontrarás los reportes de los temas y plugin que tienen vulnerabilidades.
De igual manera, asegúrate que la versión de PHP y de cualquier otro software usado en tu servidor se encuentre actualizada.
Nota: Lo mejor que puedes hacer es no escoger temas y plugins que constantemente en los boletines de seguridad.
#8 Bloquear Acceso a la Base de Datos, Acceso SFTP Y SSH
Si nunca accedes a tu base de datos, a la instalación de WordPress or accedes remotamente a tu sitio, estos puntos deberían estar bloqueados.
En mi caso, mi proveedor de hosting permite el bloque rotundo de esos tres puntos y permiten que las credenciales funcionen únicamente con direcciones IP especificas que puedes agregar y remover cuando quieras.
Si por alguna razón mi contraseña compleja se filtrará, esta no funcionaría si la dirección IP del atacante no esta autorizada.
Nota: Este debería ser un buen criterio a la hora de elegir un proveedor de hosting.
#9 Cloudflare Turnstile
Yo en realidad no pienso mucho en los ataques de fuerza bruta, porque mis páginas de acceso están protegidas por el cortafuegos de Cloudflare.
Si alguien logra esquivar el WAF de Cloudflare, tendrá que tratar de descifrar una contraseña de 40 caracteres.
Para mitigar un ataque de fuerza bruta, he instalado Cloudflare Turnstile en la página:
| #1 | Página de acceso |
| #2 | Página de Registro |
| #3 | Página para Cambio de Contraseña |
El plugin “Simple Cloudflare Turnstile“ permite la integración de Cloudflare Turnstile.
Nota: La ventaja de usar Cloudflare Turnstile es que limita a los bots y impide que ataques concurrentes agoten los recursos de tu servidor.
Las recomendaciones anteriores son las recomendaciones de seguridad para WordPress que no son negociables
El resto de recomendaciones te pueden ayudar, pero yo no las aplico activamente.
#1 No Permitir Nuevos Registros en WordPress
Si tu blog no requiere que usuarios se registren para acceso, asegúrate de desmarcar la opción de que cualquiera pueda registrarse.
Esto es de suma importancia debido a que hay ataques que requieren de tener un nivel de acceso de usuario.
Si tienes usuarios registrados, asegúrate que no tengan el rol de administrador.
Nota: Esto se encuentra deshabilitado en mis sitios, pero mis páginas de login se encuentran bloqueadas por el WAF de Cloudflare
#2 Cierres de Sesión Automáticos en WordPress
Si tiene un sitio web de WordPress con múltiples autores, editores o administradores, debes practicar constantemente el cierre de sesión de los usuarios inactivos de su sitio web de WordPress.
Ya que nunca puede estar seguro de si los usuarios de su sitio han cerrado la sesión o no.
Tener sesiones almacenadas en su navegador puede exponer a los usuarios al secuestro de sesiones y su sitio web será pirateado fácilmente.
Nota: Yo soy el único usuario en mis sitios, el acceso al escritorio esta bloqueado por el WAF de Cloudflare
#3 Usar Certificados de Seguridad
En este tiempo es tan fácil tener un certificado de Seguridad (SSL Certificate)
La mayoría de proveedores de hosting ofrecen certificados de seguridad gratuitos de Let’s Encrypt.
Si usas CloudFlare, puedes usar la opción de SSL que estos tienen disponible.
Si tu proveedor de hosting no tiene la opción de implementar y actualizar los certificados de seguridad en pleno 2023, considera usar un proveedor de hosting de calidad.
Nota: Tambien se pueden implementar por medio de CloudFlare.
#4 Escanear tu Sitio de WordPress con Regularidad
Yo no soy fan de usar plugins de seguridad y tampoco estoy obsesionado con respecto al escaneo regular de mis sitios
Sin embargo, puedes escanear tu sitio para asegurarte que no está infectado usando plugins gratuitos que identifican malware o cambios en plugins o archivos de la instalación de WordPress.
WordFence es uno de los plugins más populares para esta tarea.
Una vez que tus dudas sean despejadas por el plugin, puedes desactivar y borrar el plugin.
Nota: No he tenido incidentes de seguridad en años, no uso plugin de seguridad en este momento y raramente escaneo mis sitios.
#5 Cambiar el Permiso de Ciertos Archivos
Una de las maneras de contrarrestar los ataques realizados por hackers es cambiando los permisos de ciertos archivos
Los archivos del sistema cuyos permisos debes verificar son estos:
| /public_html/ | 0755 |
| public_html/wp-includes | 0755 |
| /public_html/.htaccess | 0644 |
| /public_html/wp-admin/index.php | 0644 |
| /public_html/wp-admin/js/ | 0755 |
| /public_html/wp-content/themes | 0755 |
| /wp-content/plugins | 0755 |
| /public_html/wp-admin | 0755 |
| /public_html/wp-content | 0755 |
| /public_html/wp-config.php | 0640 |
Hay plugins de seguridad que permiten cambiar los permisos de estos archivos.
Nota: Todo esos archivos se pueden proteger mediante el WAF de CloudFlare.
#6 Utilizar Protección contra HotLinking
Otra de las maneras de proteger los recursos de tus sitios es usar la protección contra Hot linking
Usar el sistema en contra de hot linking te ayudará a evitar que otros sitios web se vinculen a sus recursos de imagen o abusen de tu ancho de banda.
Código para el .HTACCESS si deseas prevenir el Hot Linking sin la ayuda de un plugin.
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www.)example.com/.*$ [NC]
RewriteRule .(gif|jpg|jpeg|bmp|zip|rar|mp3|flv|swf|xml|php|png|css|pdf)$ – [F]Yo no aplico esto mediante plugins o mediante la modificación del archivo .HTACCESS
Nota: Todo esos archivos se pueden proteger mediante el WAF de CloudFlare.
#7 Detener Bots Maliciosos
En el contexto de WordPress, los bots maliciosos que intentan realizar actividades no deseadas en tu sitio, como el spam en comentarios o intentos de acceso no autorizados.
Puedes detener los bots usando plugins o WAF a nivel de CDN
Estos son algunos plugins recomendados para minimizar la fuerza con los que bots maliciosos escanean tu sitio
- Black Hole
- BBQ: Block Bad Queries
Cloudflare tambien cuenta con BOT Fight Mode, funcionalidad que permite detectar y detener bots de manera automática.
Nota: Yo no suelo enfocarme en la detección de bots debido a que requiere mucho trabajo, mi enfoque esta en blindar las areas que puedes ser focos de problema.
#8 Detener la Numeración del Usuario
La enumeración de usuarios es un tipo de ataque donde las partes nefastas pueden sondear su estructura de enlaces permanentes para descubrir su identificación de inicio de sesión.
Esto suele ser un precursor para los ataques de fuerza bruta.
Si está seguro de que todos sus usuarios usan contraseñas seguras que se actualizan regularmente, entonces no hay nada de qué preocuparse
Si todas tus páginas para iniciar sesión están blindadas, esto no es algo que deba preocuparte
Nota: Yo no suelo hacer nada activamente para detener la numeración del usuario, ya que mis páginas de inicio son bastante seguras,
#9 Prevención de Spam
Una de las medidas que tambien debes tomar es reducir el Spam que llega a tu sitio en los comentarios y por medio de los formularios de contacto.
Si no le encuentras utilidad a los comentarios que también son parte de tu contenido puedes desactivarlos por completo.
Nota: Yo no tengo habilitada la sesión de comentario en mis sitios, por lo tanto no tengo que lidiar con spam y otros.
#10 Remover la Información de Versión de WordPress
El generador de WordPress agrega automáticamente cierta meta-información dentro de las etiquetas “principales” de cada página en el front-end de su sitio.
A continuación se muestra un ejemplo de esto:
<meta name = “generator” content = “WordPress 3.5.1” />
La meta-información anterior muestra qué versión de WordPress está ejecutando actualmente su sitio y, por lo tanto, puede ayudar a los piratas informáticos o rastreadores a escanear su sitio para ver si tiene una versión anterior de WordPress o una con un exploit conocido.
Si tienes la última versión de WordPress, no te preocupes por esto
Código para el PHP File si deseas aplicar esta información de manera manual:
function remove_version_from_style_js( $src ) {
if ( strpos( $src, 'ver=' . get_bloginfo( 'version' ) ) )
$src = remove_query_arg( 'ver', $src );
return $src;
}
add_filter( 'style_loader_src', 'remove_version_from_style_js');
add_filter( 'script_loader_src', 'remove_version_from_style_js');Nota: Si usas la última versión de WordPress y si las otras area de tu sitio están bien protegidas, no hay nada de que preocuparse
#11 Cambiar el Prefijo de la Base de Datos
Su base de datos de WordPress es el activo más importante de su sitio web porque contiene mucha de la valiosa información de su sitio.
La base de datos también es un objetivo para los piratas informáticos a través de métodos como inyecciones SQL y código malicioso y automatizado que se dirige a ciertas tablas.
Una forma de agregar una capa de protección para su base de datos es cambiar el prefijo de tabla predeterminado de WordPress de “wp” a otra cosa que sea difícil de adivinar para los hackers.
WordFence ha indicado que Cambiar el Prefijo de la Base de Datos no Mejora tu Seguridad, sin embargo realizar esto no requiere de mucho esfuerzo.
Puedes cambiar el prefijo de la base de datos usando un plugin y luego eliminar el plugin.
Nota: Algo más efectivo es usar un cortafuegos personalizado y bloquear palabras claves que pueden conducir a una inyección SQL.
#12 Desactivar el XMLRPC.PHP en WordPress
Otras de las medidas de seguridad es desactivar el XMLRPC.PHP en WordPress , hazlo si no requieres acceso remoto a tu sitio como la conexión que estableces con tu sitio con algunos plugins como Jetpack
Puedes verificar el estado de tu archivo XMLRPC.PHP usando el siguiente validador de XMLRPC.PHP
Si deseas aplicar esta medida de seguridad de manera manual, este el Código para el .HTACCESS
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all allow from 123.123.123.123
</Files>Nota: Yo he bloqueado el acceso a todos los archivos .php para los no administradores con la ayuda de CloudFlare.
#13 Bloquea los Ataques de Fuerza Bruta
Además de tener una contraseña robusta, debes de detener los ataques de fuerza bruta por dos razones:
- Mejorar la seguridad
- Evitar el desperdicio de los recursos de tu servidor
Una de las medidas es cambiar la dirección de login, a pesar que la medida es criticada por algunos y alabada por otros.
Si usas Jetpack, puedes eliminar el inicio de sesión que WordPress brinda por Default y solo permitir el inicio de sesión por medio de WordPress.com
Nota: Yo he bloqueado el acceso a todos los archivos .php para los no administradores con la ayuda de CloudFlare. Esa medida bloquea el acceso de las páginas de acceso para el público.
#14 Bloquear la Dirección IP
Yo no creo en bloquear direcciones IP ya que los bots pueden utilizar miles de direcciones IP diferentes para llevar a cabo ataques coordinados.
La única forma de detener ataques automatizados es usando plugins de seguridad.
Creo que WordFence realiza esto de una manera bastante efectiva.
Nota: Yo no suelo enfocarme en bloquear direcciones IP, mi enfoque esta en blindar las areas que puedes ser focos de problema.
#15 Usar Autenticación de Dos Factores
La autenticación de dos factores consiste en ingresar tu usuario y contraseña para luego ingresar un código de un autenticador.
Esta medida asume que un hacker tiene tu usuario y contraseña o los credenciales de alguien que trabaja en tu sitio.
Nota: Si eres el único usuario registrado en tu sitio, esta medida no es necesaria. Si tienes blindadas tus páginas de acceso, ni piensen en hacer esto.
#16 Poner Preguntas de Seguridad a la Página de Acceso
Otra medida de seguridad para tu página de acceso es el uso de preguntas de Seguridad.
All In One WP Firewall pone operaciones matemáticas básicas para poder iniciar sesión
Nota: Si eres el único usuario registrado en tu sitio, esta medida no es necesaria. Si tienes blindadas tus páginas de acceso, ni piensen en hacer esto.
#17 Desactivar la Navegación del Directorio
Por defecto, la indexación de directorios está habilitada en los sitios web de WordPress, una persona con intenciones hostiles puede navegar y descubrir los archivos y la estructura de su sitio web.
Mi proveedor de hosting previene que esto suceda en mis sitios de manera automática.
Nota: Adicionalmente, he bloqueado el acceso a todos los archivos .php para los no administradores con la ayuda de CloudFlare.
#18 Detener la Edición de Archivos PHP desde el Escritorio
Esta es una medida a la cual no le encuentro sentido ya que si un hacker se encuentra en tu escritorio de WordPress, ya perdiste.
Un pequeño código implementado desde el escritorio no detendrá a nadie que tenga los conocimientos suficientes para hackear un sitio.
Nota: Aún no le encuentro sentido a esta medida encontrada en algunos plugins de seguridad.
#19 Desactivar la Ejecución de Archivos PHP
Si los hacker logran subir un archivo a tu sitio de WordPress, estos pueden tratar de ejecutarlo.
Para prevenir eso, debes pegar un archivo .HTACCESS en la carpeta wp-content/uploads/ con este código:
<Files *.php>
deny from all
</Files>Nota: No cuesta nada aplicar esta optimización, si no usas plugins que permitan subir archivos y si bloqueas acceso a tus archivos .php a no administradores no hay nada de que preocuparte
#20 Actualiza las Llaves de Seguridad de WordPress.
Una de las formas de proteger tu sitio es mediante la actualización de las llaves de seguridad.
Estas llaves de seguridad se les conoce como Salt Keys
#21 Implementar Seguridad de HTTP Headers
Una de las maneras de proteger tu sitio en contra de algunas vulnerabilidades es mediante la implementación de HTTP Headers.
Puedes revisar como esta la condición de los headers en tu sitio mediante el uso del sitio Security Header.
#22 Usar un Plugin de Auditoría
Si debes de darle acceso a un tercero para que revise algo de tu sitio, debes crear otro usuario con las funciones limitadas al servicio que va a realizar.
Una buen forma de prevenir problemas con darle acceso a terceros es mediante el uso de un plugin de auditoria.
Plugins Recomendados
- WP Security Audit Log
- Activity Log
Puedes leer más sobre el tema en esta publicación: Plugins de Auditoria de WordPress
#23 Realiza Test de Seguridad
Algo que deberías hacer es realizar test de vulnerabilidad
| Tipo de Vulnerabilidad | Test |
| SQL Injection | SQL Injection Scanner |
| Cross Site Scripting (XSS) | XSS Scanner |
#24 Monitorear los Errores 404
Puedes bloquear algunos bots con algunos plugins pero eso es una tarea imposible bloquearlos todos.
Los bots siempre andan husmeando en tu sitio en busqueda de una vulnerabilidad.
Hay plugins que te permiten registrar los errores 404 y algunos plugin te permiten ver el tráfico de tu sitio en tiempo real.
Si cambiaste la dirección de acceso y ves que de distintas partes del mundo intentan acceder, bloquea esas direcciones.
Lo mismo puede hacer con las direcciones IP’s que buscan plugins con vulnerabilidades
#25 ¿Esta tu Sitio de WordPress en Linea?
Una buena práctica es tener un servicio que te permita saber si tu sitio esta en linea.
Un hacker pudo haber borrado tu sitio y pueden pasar horas hasta darte cuenta.
Plugins y Servicios Recomendados
- Jetpack
- Uptime Robot
#26: Proteger Archivo WP-Config.PHP
Uno de los archivos más importante a proteger es el archivo WP-Config.
Tiene la contraseña de la base de datos y las wordpress salts
Código con el Archivo. HTACCESS
<files wp-config.php>
order allow,deny
deny from all
</files>#27 Detener Script Injection
Para proteger tu sitio, debes protegerlo ante la Inyección de Scripts
Este es un Código que puedes agregar a tu archivo .HTACCESS.
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING}
(<|%3C).script.(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]#28 Revisar si tus Credenciales están expuestos en la Dark Web
Otra de las medidas que puedes implementar a nivel externo es usar una herramienta que verifica si tu sitio ha sido mencionado en la deep web y si los credenciales han sido expuestos allí.
ImmuniWeb tiene una herramienta gratuita que verifica lo que acabamos de mencionar:
Si tu nombre dominio aparece en los resultados, puedes cambiarlos para evitar un posible hackeo.
#29 Re-nombrar la carpeta de Plugins
Una de las recomendaciones que se brindan con poca frecuencia es re-nombrar la carpeta de plugins.
Re-nombrar la carpeta de plugins es algo que se puede realizar con la ayuda de código o de plugins
Si eres de los que usa CloudFlare u otro servicio como WAF (Web Application Firewall), no debes molestarte con esto.
En caso de querer hacerlo, este es el plugin que puede ayudarte con eso:
