Cuando se habla de hosting compartido o servidores dedicados/VPS, dos herramientas aparecen siempre: WHM y cPanel. Aunque muchos los mencionan como si fueran lo mismo, en realidad cumplen funciones totalmente distintas, pensadas para diferentes tipos de usuarios.
En este artículo te explico de forma clara y práctica cuáles son sus diferencias, para qué sirve cada uno y cuándo vas a utilizar uno u otro.
¿Qué es cPanel?
cPanel es el panel de control orientado al usuario final, es decir, a los dueños de cada sitio web o cuenta de hosting.
¿Para qué sirve cPanel?
cPanel permite administrar recursos individuales de un dominio o cuenta:
✔ Crear correos electrónicos ✔ Administrar archivos (File Manager) ✔ Crear bases de datos MySQL ✔ Instalar aplicaciones con Installatron o Softaculous ✔ Gestionar DNS del dominio ✔ Ver métricas de uso (CPU, ancho de banda) ✔ Configurar SSL/HTTPS ✔ Administrar FTP ✔ Gestionar backups propios
Es la herramienta que usan los clientes, no los administradores del servidor.
¿Qué es WHM?
WHM (WebHost Manager) es el panel de control orientado al administrador del servidor o al revendedor de hosting, incluso webmasters.
WHM actúa como una capa superior a todas las cuentas cPanel.
¿Para qué sirve WHM?
Con WHM se administran todas las cuentas cPanel, así como la configuración general del servidor:
✔ Crear, suspender o eliminar cuentas cPanel ✔ Configurar paquetes/planes de hosting ✔ Administrar el servicio de email (Exim) ✔ Gestionar la configuración de PHP (versiones, handlers, límites) ✔ Revisar el uso de recursos del servidor ✔ Configurar firewall (CSF/LFD si está instalado) ✔ Administrar DNS a nivel global ✔ Realizar backups completos del servidor ✔ Monitorear servicios críticos (MySQL, Apache, FTP, Mail, FTP) ✔ Ejecutar tareas de mantenimiento como /scripts/fixquotas, account transfers, etc.
En pocas palabras, WHM controla el servidor completo. cPanel solo controla una cuenta dentro del servidor.
Relación entre WHM y cPanel
Lo más fácil es verlo como una estructura jerárquica:
Servidor
└── WHM (administrador)
├── cPanel cuenta 1
├── cPanel cuenta 2
├── cPanel cuenta 3
└── ...
WHM crea y maneja cuentas. cPanel administra lo que ocurre dentro de cada cuenta.
Ejemplo práctico
Imagina que administras un VPS o un cloud, incluso una cuenta reseller que ofrecemos, donde alojas 30 clientes:
Desde WHM creas 34 cuentas cPanel, como nuestro producto Pack 34, donde cada una cuenta con su dominio, su cuota de disco y su plan.
Cada cliente ingresa a su cPanel y gestiona su sitio sin afectar a otros.
Si mañana quieres suspender una cuenta por uso indebido o modificar su cuota de disco, lo haces desde WHM, no desde cPanel.
WHM y cPanel: conclusiones finales
cPanel es para administrar tu sitio.
WHM es para administrar el servidor y las cuentas cPanel.
Ambas herramientas funcionan juntas, pero cumplen roles totalmente distintos. Por eso, cuando uno accede a WHM, está entrando en el nivel superior, con permisos avanzados que no tiene un usuario común.
Si te gustó este artículo, suscríbete a nuestro canal de YouTube para videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en Twitter, Facebook e Instagram.
WordPress es el gestor de contenidos más utilizado del mundo, lo que también lo convierte en uno de los principales objetivos de ataques cibernéticos. Desde intentos de fuerza bruta hasta inyecciones de malware, la seguridad debe ser una prioridad para cualquier administrador web. Aquí es donde MalCare entra en juego: una solución completa de seguridad diseñada especialmente para sitios en WordPress.
🔍 ¿Qué es MalCare?
MalCare es un plugin de seguridad para WordPress que ofrece protección automática, inteligente y sin sobrecargar el servidor. A diferencia de otros sistemas que dependen de análisis locales, MalCare realiza el escaneo de malware en sus propios servidores, evitando así consumir recursos del hosting.
Fue desarrollado por el equipo de BlogVault, conocido por sus soluciones de respaldo y migración para WordPress, por lo que cuenta con una sólida reputación en el ecosistema.
🚀 Principales funciones de MalCare
Escaneo automático de malware
Detecta código malicioso oculto, puertas traseras y archivos infectados.
Los análisis se ejecutan en la nube, sin afectar el rendimiento del sitio.
Incluye escaneo diario automático y escaneo manual bajo demanda.
Limpieza de malware con un clic
Si se detecta una infección, MalCare permite limpiar el sitio con un solo clic.
No requiere conocimientos técnicos ni intervención de expertos externos.
Firewall de aplicación web (WAF)
Bloquea solicitudes maliciosas y ataques antes de que lleguen al servidor.
Filtra tráfico sospechoso y evita accesos de bots dañinos.
Protección de inicio de sesión
Implementa protección contra ataques de fuerza bruta.
Permite limitar intentos de acceso y habilitar autenticación de dos factores (2FA).
Monitoreo de actividad
Permite ver qué cambios se realizan en el sitio.
Ayuda a detectar comportamientos inusuales o accesos no autorizados.
Gestión de sitios múltiples
Ideal para agencias o administradores que manejan varios sitios.
Desde un único panel se pueden monitorear, escanear y limpiar todos los sitios conectados.
⚙️ Cómo usar MalCare paso a paso
1. Instalar el plugin
Inicia sesión en el panel de WordPress.
Ve a Plugins → Añadir nuevo y busca “MalCare Security”.
Haz clic en Instalar ahora y luego en Activar.
2. Conectar el sitio
Al activar MalCare, se te pedirá conectar tu sitio con la plataforma de MalCare (requiere una cuenta gratuita).
Este paso permite al sistema realizar escaneos en la nube y mostrar resultados en tu panel.
3. Realizar el primer escaneo
Una vez conectado, MalCare escaneará tu sitio automáticamente.
Si detecta malware, te mostrará un informe detallado de los archivos afectados.
4. Activar el firewall
Desde el panel de MalCare, activa el Web Application Firewall para proteger tu sitio en tiempo real.
5. Revisar alertas y mantenimiento
Configura los informes por correo electrónico para recibir notificaciones ante cualquier amenaza.
Realiza escaneos manuales cada cierto tiempo y verifica la actividad del sitio.
💡 Consejos adicionales de seguridad para WordPress
Aunque MalCare es una excelente herramienta, la seguridad total se logra combinando buenas prácticas:
Usa contraseñas fuertes y activa 2FA para todos los usuarios con acceso al panel.
Evita instalar plugins o temas de fuentes no oficiales.
Realiza copias de seguridad automáticas con una herramienta confiable como BlogVault o UpdraftPlus.
Implementa HTTPS con un certificado SSL válido.
La seguridad de tu sitio web en WordPress no es algo opcional: es una necesidad. MalCare te ofrece una solución práctica, automatizada y efectiva para detectar y eliminar malware, proteger tus accesos y mantener tu sitio en línea sin interrupciones.
Si estás buscando una forma sencilla de mantener tu WordPress seguro sin complicarte, MalCare es una de las opciones más completas y accesibles del mercado.
Si te gustó este artículo, suscríbete a nuestro canal de YouTube para videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en Twitter, Facebook e Instagram.
En muchas consultas a nuestro soporte técnico, vemos preguntas como: ¿Por qué sigo viendo una versión vieja de mi sitio web?, o ¿He actualizado mi página y se sigue viendo la anterior? A todos nos ha pasado alguna vez: ingresamos a una página web, el diseñador dice que ya actualizó todo… pero en nuestra pantalla seguimos viendo lo mismo de antes. La causa más común: la caché.
¿Qué es la caché del navegador?
La caché (o “cache”) es un sistema de almacenamiento temporal que guarda partes de las páginas web en tu computadora, como imágenes, hojas de estilo, scripts o incluso texto. Su objetivo es simple: acelerar la carga.
Por ejemplo, si visitas una página todos los días, tu navegador no necesita descargar todos los archivos cada vez; los toma de la caché local, lo que hace que el sitio se abra más rápido.
Hasta ahí, todo bien. El problema surge cuando el contenido del sitio cambia, pero tu navegador sigue usando la versión vieja almacenada.
🕵️♀️ ¿Por qué algunas personas ven el sitio actualizado y otras no?
Cada computadora, navegador o incluso red puede comportarse diferente. Estas son las causas más frecuentes:
Caché del navegador: es la más común. Tu navegador guarda archivos viejos y no los reemplaza de inmediato.
Caché del sistema operativo: Windows, macOS o Linux también guardan ciertos archivos temporales que pueden afectar cómo se muestran las páginas.
Caché DNS: tu computadora recuerda a qué dirección IP pertenece cada dominio. Si la web cambió de servidor, puede seguir apuntando al viejo durante un tiempo.
Caché del router o del proveedor de internet (ISP): algunos routers o proveedores almacenan copias temporales de contenido para acelerar la navegación.
CDN o servidores intermedios: si el sitio usa una red de distribución de contenido (como Cloudflare), puede mostrar versiones antiguas hasta que se actualicen sus nodos.
🧹 Limpiar la caché del navegador… y algo más
Cuando un sitio no se ve como debería, lo primero que todos recomiendan es “borrar la caché del navegador”. Y sí, es el primer paso, pero no siempre suficiente.
1️⃣ Limpiar la caché del navegador
Cada navegador lo hace de forma diferente:
Google Chrome:Ctrl + Shift + Supr → elige “Archivos e imágenes en caché” → “Borrar datos”.
También puedes usar herramientas como CCleaner o BleachBit (si prefieres software libre).
macOS:
Abre “Finder” → “Ir” → “Ir a la carpeta” → escribe ~/Library/Caches/ → elimina el contenido con cuidado.
Linux:
Ejecuta sudo apt clean && sudo apt autoremove (en Debian/Ubuntu) o limpia ~/.cache/.
3️⃣ Limpiar la caché DNS
Si el sitio cambió de servidor o IP, tu equipo podría seguir apuntando al anterior. Para forzar la actualización:
Windows: abre la terminal (CMD) y escribe: ipconfig /flushdns
macOS: desde la terminal ejecuta: sudo dscacheutil -flushcache
Linux:sudo systemd-resolve --flush-caches
⚡ Otros consejos útiles
Prueba desde otro dispositivo o red: a veces el problema está en el router o proveedor.
Usa Ctrl + F5: fuerza una recarga completa ignorando la caché del navegador.
Verifica desde herramientas externas: sitios como IsItDownRightNow o GTMetrix te muestran cómo otros servidores ven la página.
La caché es una gran aliada para navegar más rápido, pero también puede ser la causa de grandes dolores de cabeza cuando los cambios en un sitio no se reflejan. Aprender a limpiar no solo la caché del navegador, sino también la del sistema y DNS, te ayudará a ver siempre la versión más reciente de cualquier página web.
Si te gustó este artículo, suscríbete a nuestro canal de YouTube para videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en Twitter, Facebook e Instagram.
Cambiar las URLs de tu sitio web en WordPress puede parecer intimidante para los principiantes, pero es una habilidad importante. A lo largo de los años, hemos ayudado a propietarios de sitios web a cambiar sus URLs al pasar de HTTP a HTTPS, cambiar nombres de dominio, transferir a un subdominio, migrar de un servidor local a un sitio en vivo, e incluso cuando simplemente estaban reestructurando su contenido.
¿Por qué cambiar las URLs de un sitio WordPress?
Existen varias razones por las que podrías necesitar o querer cambiar las URLs de tu sitio WordPress:
Necesitas actualizar las URLs del sitio al mover WordPress de un servidor local a un sitio en vivo.
Si has trasladado tu sitio WordPress a un nuevo nombre de dominio, deberás cambiar las URLs del sitio para reflejar el cambio.
Debes cambiar las URLs del sitio porque estás moviendo WordPress a un directorio diferente, como eliminar /wordpress/ de tu URL de WordPress.
También será necesario cambiar las URLs al pasar WordPress de HTTP a HTTPS.
Además de eso, puede que necesites cambiar la configuración de la dirección de WordPress si estás viendo el error de “demasiados redireccionamientos” en WordPress o al solucionar otro problema en WordPress.
¿Cuál es la diferencia entre la dirección de WordPress y la dirección del sitio?
Al cambiar la URL de tu WordPress, necesitarás actualizar dos configuraciones diferentes: la dirección de WordPress y la dirección del sitio.
Esto puede ser confuso para muchos principiantes, ya que no conocen la diferencia entre estas dos configuraciones:
La dirección de WordPress (URL) es la dirección donde se almacenan tus archivos y carpetas de WordPress, incluidos tus páginas de administración, archivos multimedia, plugins, temas y más.
La dirección del sitio (URL) en WordPress es la parte pública de tu sitio web. Es lo que los visitantes escribirán en sus navegadores para acceder a tu página web.
Para la mayoría de los usuarios, la dirección de WordPress y la dirección del sitio serán iguales.
Sin embargo, en algunos casos, las grandes empresas pueden alojar sus sitios de WordPress en un servidor diferente porque su sitio corporativo tiene muchas otras aplicaciones, y desean aislar dónde se aloja cada aplicación para mejorar la seguridad de WordPress.
Ahora, veamos cómo cambiar fácilmente las URLs de un sitio web en WordPress.
Método 1: Cambiar las URLs del sitio de WordPress desde el área de administración
Este método es el más sencillo y adecuado para principiantes. Si tienes acceso al panel de administración de WordPress, te recomendamos usar este método.
Simplemente, inicia sesión en el panel de control de WordPress y ve a Ajustes » Generales.
Aquí podrás cambiar las URLs de tu sitio WordPress en las casillas de Dirección de WordPress y Dirección del sitio.
Como mencionamos, para la mayoría de los sitios web, estas URLs serán las mismas.
Después de realizar los cambios, haz clic en el botón Guardar cambios para guardar las modificaciones en las URLs.
Ahora, visita tu sitio web para asegurarte de que todo funcione correctamente.
Método 2: Cambiar las URLs del sitio de WordPress usando el archivo functions.php
Si no puedes acceder al panel de administración de WordPress, necesitarás usar este método.
Primero, conecta tu sitio de WordPress utilizando un cliente FTP.
Luego, localiza la carpeta de tu tema de WordPress. Para la mayoría de los usuarios, será algo como /wp-content/themes/tu-carpeta-de-tema/.
Dentro de esta carpeta, abre el archivo functions.php y edítalo con tu editor de texto preferido, como Notepad o TextEdit.
A continuación, añade el siguiente código al final del archivo:
Guarda los cambios y vuelve a subir el archivo al servidor mediante FTP.
Ahora, visita tu sitio web para verificar si todo funciona correctamente.
La ventaja de este método es que actualiza las URLs del sitio directamente en la base de datos. WordPress ejecutará esta actualización cada vez que se cargue el archivo functions.php.
Una vez que tu sitio funcione correctamente, puedes eliminar las dos líneas de código del archivo functions.php de tu tema.
Método 3: Cambiar las URLs del sitio de WordPress usando el archivo wp-config.php
Si no estás seguro de qué tema de WordPress necesitas editar o no puedes encontrar el archivo functions.php, puedes usar este método.
Deberás añadir las URLs de tu sitio web al archivo de configuración de WordPress, llamado wp-config.php. Este archivo se encuentra en la carpeta raíz de tu sitio web y contiene configuraciones importantes de WordPress.
Pasos para realizar el cambio:
Conéctate a tu sitio web mediante un cliente FTP Para más detalles, consulta una guía sobre cómo usar FTP para subir archivos a WordPress.
Ubica el archivo wp-config.php Este archivo normalmente se encuentra en la carpeta raíz de tu dominio.
Edita el archivo wp-config.php Abre el archivo en un editor de texto y añade el siguiente código justo encima de la línea que dice: ‘That’s all, stop editing! Happy publishing’ define( 'WP_HOME', 'https://example.com' ); define( 'WP_SITEURL', 'https://example.com' );
Reemplaza https://example.com Sustituye https://example.com con el nombre de dominio de tu sitio web.
Guarda los cambios y sube el archivo al servidor Usa tu cliente FTP para subir el archivo modificado nuevamente al servidor.
Verifica tu sitio web Visita tu sitio para asegurarte de que todo funciona correctamente.
Nota:
Este método sobrescribe las configuraciones de URL en el panel de administración de WordPress, por lo que no podrás editarlas desde allí mientras este código esté presente en el archivo wp-config.php.
Método 4: Cambiar las URLs del sitio de WordPress en la base de datos usando phpMyAdmin
Otra forma de actualizar las URLs de tu sitio WordPress es cambiarlas directamente en la base de datos de WordPress. Esto se puede hacer desde el panel de control de tu cuenta de hosting.
Pasos para realizar el cambio:
Realiza una copia de seguridad de tu base de datos Antes de proceder, recomendamos crear una copia de seguridad de la base de datos de WordPress. Esto es muy importante y te permitirá deshacer los cambios en caso de que algo salga mal.
Accede a phpMyAdmin Inicia sesión en el panel de control de tu cuenta de hosting y haz clic en el icono de phpMyAdmin en la sección de Bases de datos. Esto abrirá la aplicación phpMyAdmin, que ofrece una interfaz web para editar bases de datos MySQL.
Selecciona tu base de datos de WordPress En la columna izquierda, haz clic en tu base de datos de WordPress. Esto mostrará las tablas dentro de la base de datos.
Abre la tabla wp_options Haz clic en la tabla wp_options.
Por defecto, el prefijo de las tablas es wp_, pero si lo has cambiado, este prefijo podría ser diferente.
Localiza las filas ‘siteurl’ y ‘home’ Dentro de la tabla wp_options, busca la columna option_name y localiza las filas que contienen siteurl y home.
Edita los valores
Haz clic en el icono de lápiz Editar que aparece a la izquierda de cada fila.
Cambia el campo option_value con la nueva URL de tu sitio.
Guarda los cambios Después de realizar los cambios, haz clic en el botón Go en la esquina inferior derecha para guardar los cambios en la base de datos.
Verifica tu sitio web Visita tu sitio para asegurarte de que todo funciona correctamente.
Nota:
Este método es avanzado y debe hacerse con precaución. Cualquier error al editar la base de datos podría causar problemas en tu sitio web. Asegúrate de realizar la copia de seguridad antes de realizar cambios.
Si te gustó este artículo, suscríbete a nuestro canal de YouTube para videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en Twitter, Facebook e Instagram.
WordPress es muy popular entre bloggers, desarrolladores y empresas. Debido a esta popularidad, los atacantes no tardan en localizar dónde se encuentran los recursos sensibles. Por defecto, en cualquier sitio WordPress, el acceso principal está claramente identificado como [nombre del dominio/wp-login.php] o /wp-admin/. Incluso en sitios pequeños, los registros del servidor pueden mostrar cientos de intentos fallidos de inicio de sesión provenientes de proxies residenciales y botnets que cambian constantemente sus direcciones IP. Si un atacante logra comprometer una sola cuenta, podría instalar un plugin malicioso, crear una puerta trasera, inyectar spam SEO o usar el sitio para alojar malware oculto, lo que dañaría la reputación, el posicionamiento en buscadores y los ingresos de forma directa y significativa.
¿Qué tan segura es la página de inicio de sesión de WordPress?
WordPress incluye funciones básicas de seguridad por defecto. No obstante, estas protecciones integradas suelen ser insuficientes para detener a atacantes persistentes. La página de inicio de sesión estándar puede estar vulnerable a diferentes tipos de amenazas, entre ellas:
Ataques de fuerza bruta
Relleno de credenciales
Intentos de phishing
Ataques de intermediario
Para obtener una mayor protección, deberá superar los valores predeterminados y agregar capas de seguridad adicionales.
10 capas defensivas para la seguridad del inicio de sesión en WordPress
A continuación, analizaremos cómo los atacantes apuntan a la página de inicio de sesión y luego repasaremos algunas configuraciones que ayudan a cerrar las brechas más comunes, como credenciales sólidas, autenticación de dos factores, limitación de velocidad y monitoreo en tiempo real.
1. Emplee contraseñas con alta complejidad en todos los lugares
Las campañas de robo de credenciales se basan en que los usuarios reutilizan sus contraseñas en diferentes servicios. Los kits de phishing y los ladrones de información descargan millones de credenciales a diario. Los atacantes introducen estas listas en scripts que buscan /wp-login.php coincidencias de credenciales.
2. Mueva la URL de inicio de sesión a una ruta no predeterminada
Los escáneres genéricos están diseñados para verificar las rutas de inicio de sesión predeterminadas, así que use una ruta distinta a la predeterminada para reducir la exposición a escáneres que solo buscan valores predeterminados. Esto no detiene a un atacante específico, pero filtra una oleada masiva de escáneres genéricos. Una opción para ocultar la URL de inicio de sesión es usar un plugin como WPS Hide Login:
En Configuración > Ocultar inicio de sesión de WPS, especifique el nuevo slug (ejemplo: /secure-gateway/).
Guarde los cambios y registre la nueva URL en su administrador de contraseñas.
Recomendación
No publique la nueva ruta en documentación pública ni en foros de soporte.
Mantenga una segunda cuenta de administrador que omita el complemento en caso de que la regla de reescritura esté mal configurada.
3. Imponga límites estrictos a los inicios de sesión fallidos
Las herramientas de fuerza bruta disponibles pueden repetir las conjeturas de contraseñas en rápida sucesión, especialmente cuando el sitio responde rápidamente.
El robo de credenciales suele provenir de navegadores sin interfaz gráfica o CURL. CAPTCHA bloquea estas ejecuciones automatizadas con mínima fricción para los usuarios.
Una buena alternativa es utilizar la siguiente herramienta:
Aplicar desafíos a los formularios de inicio de sesión, registro y restablecimiento de contraseña.
6. Reforzar wp-config.php contra la manipulación posterior a la explotación
Si un atacante accede al panel de control o obtiene acceso de escritura a archivos, puede inyectar puertas traseras a través del editor de temas o los instaladores de plugins. Deshabilitar estas funciones obliga a los atacantes a buscar una primitiva de escritura del lado del servidor, lo que aumenta el nivel de exigencia.
Puedes realizar las siguiente acciones para reforzar tu WP: Añade las siguientes líneas arriba /* That's all, stop editing! */
7. Ocultar los nombres de usuario de los autores de la vista del público
Muchas herramientas automatizadas ejecutan el análisis de enumeración, /?author=1que devuelve una redirección a [nombre de dominio /author/username/]. Esta filtración le entrega al atacante la mitad del problema del inicio de sesión.
Para bloquear este tipo de acciones, lo puedes realizar añadiendo lo siguiente a tu .htaccess
Ahora si visitas la url /?author=1. Espera una redirección instantánea a la página de inicio o un error 403. Las entradas del blog deben mostrar el apodo, pero no el nombre de usuario.
8. Eliminar cuentas de usuario inactivas o desconocidas
En WordPress, las cuentas obsoletas —ya sean de exempleados, pruebas o correos comprometidos— pueden convertirse en puertas de entrada para los atacantes. Mantenerlas activas rompe con el principio de privilegio mínimo, una de las bases esenciales de la seguridad.
9. Purgar y elimina complementos y temas no utilizados
Se revelan vulnerabilidades graves en plugins y temas con frecuencia. Mantener instalados componentes sin usar o desactualizados aumenta el riesgo, incluso si están desactivados, ya que pueden ejecutarse directamente mediante la inclusión de archivos.
Inicie sesión en su panel de administración de WordPress.
Vaya a Panel de control > Complementos > Inactivos .
Revise y elimine cualquier complemento que ya no utilice.
Nuevamente, la desactivación no neutraliza el riesgo. Elimínelo por completo a menos que sea necesario para la puesta en escena.
10. Parchee el núcleo, los complementos y los temas de WordPress inmediatamente
lgunas vulnerabilidades se explotan ampliamente poco después de su divulgación, pero la aplicación rápida de parches reduce el tiempo de exposición de su sitio web. Aplique las correcciones de inmediato y considere un firewall de aplicaciones web para reducir el riesgo mientras actualiza.
Conclusiones
Los atacantes se centran en la página de inicio de sesión de WordPress porque su ubicación es predecible y de un solo factor de forma predeterminada.
Las defensas en capas, como contraseñas seguras, URL ocultas, limitación de velocidad, autenticación de dos factores, CAPTCHA, refuerzo de la configuración y gestión estricta de parches, detienen la gran mayoría de los ataques del mundo real.
Un firewall de aplicaciones de sitios web acelera el proceso al brindar parches virtuales y protección automatizada contra fuerza bruta lista para usar.
Las copias de seguridad periódicas son la solución cuando todas las demás medidas fallan. Si no cuenta con copias de seguridad diarias externas, configúrelas ahora.
Si te ha gustado este artículo, suscríbete a nuestro canal de YouTube para ver videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en Twitter, Facebook e Instagram.
Un archivo llms.txt es relativamente nuevo en el ecosistema web y está vinculado a cómo los modelos de lenguaje (LLMs) como ChatGPT, Claude, Gemini, etc., interactúan con sitios web.
📌 ¿Qué es?
Es un archivo de texto plano que se coloca en la raíz del dominio (https://tusitio.com/llms.txt).
Similar a robots.txt, pero pensado específicamente para indicar permisos, restricciones o lineamientos sobre el uso de contenido del sitio por parte de modelos de IA.
Sirve para declarar políticas de acceso, atribución, entrenamiento y uso de datos que los LLMs deberían respetar.
Está pensado para ser legible tanto para humanos como para sistemas de IA, utilizando principalmente el formato Markdown.
📌 ¿Para qué sirve?
Puedes usarlo para permitir o bloquear que los modelos de IA.
Ofrecer directivas específicas para modelos IA sobre qué contenido puede usarse para entrenamiento, generación de respuestas, u otro tipo de interacción, diferenciando incluso entre tipos de modelos o proveedores.
Reducir elementos innecesarios (scripts, menús, anuncios) y garantizar que la data presentada sea clara y válida para procesamientos automáticos
Accedan a determinadas secciones del sitio.
También puede incluir información de licencias o créditos.
❌ No. El llms.txtno depende de WordPress ni de ningún CMS específico. Se puede usar en cualquier tipo de sitio web (estático, dinámico, hecho en WordPress, Joomla, Drupal, Laravel, HTML puro, etc.).
Lo importante es que esté disponible en la raíz pública del dominio para que los bots de IA lo detecten.
📄 Ejemplo de llms.txt
# llms.txt - Directivas para modelos de lenguaje (LLMs)
# Especificamos que estas reglas aplican a todos los LLMs
User-Agent: *
# Bloqueamos carpetas sensibles de WordPress
Disallow: /wp-admin/
Disallow: /wp-includes/
Disallow: /wp-content/plugins/
Disallow: /wp-content/themes/
Disallow: /cgi-bin/
# Permitimos contenido público indexable
Allow: /wp-content/uploads/
Allow: /blog/
Allow: /productos/
Allow: /
# Política de uso del contenido
Policy: NoTraining # No se permite usar este contenido para entrenar IA
Policy: LimitedUse # Solo se puede usar para generación de snippets/resúmenes
# Atribución obligatoria al mostrar extractos
Attribution: Required
# Información de contacto
Contact: admin@tusitio.com
# Fuente de licencia de contenido
License: https://tusitio.com/licencia-contenido
📌 Explicación de las directivas
User-Agent: a quién aplican las reglas (* = todos los LLMs).
Disallow / Allow: similar a robots.txt, define qué carpetas o rutas puede usar un modelo de IA.
Policy:
NoTraining → prohíbe usar el contenido para entrenar modelos.
LimitedUse → permite mostrarlo en resúmenes o snippets, pero no entrenar.
Attribution: Required → obliga a citar la fuente.
Contact / License → añade transparencia y respaldo legal.
👉 Recomendación: si tu enfoque es SEO y quieres que Google, Bing u otros bots tradicionales sigan indexando el contenido, no uses el llms.txt para bloquear / completo, solo apunta a IA.
El archivo llms.txt aún no es un estándar universal, pero está ganando espacio por la importancia creciente de la IA en internet y la necesidad de ofrecer marcos claros para la indexación y uso de contenidos por sistemas inteligentes.
Si tienes un blog o sitio web en WordPress con muchas publicaciones, es probable que hayas experimentado lo agotador que puede ser agregar etiquetas a cada entrada de manera manual. Aunque las etiquetas son fundamentales para la organización y optimización SEO de tu sitio, realizar esta tarea repetidamente consume tiempo. Afortunadamente, es posible automatizar este proceso, lo que te permitirá ser más eficiente y dedicar más esfuerzo a la creación de contenido.
La importancia de etiquetar tus publicaciones en WordPress
Antes de abordar cómo automatizar el etiquetado, es esencial comprender el valor de las etiquetas. En WordPress, las etiquetas permiten clasificar el contenido con mayor precisión que las categorías. Por ejemplo, si tienes un blog de recetas, una categoría podría ser “Postres”, mientras que las etiquetas podrían incluir términos como “chocolate”, “fruta” o “sin gluten”. Esto facilita a los visitantes encontrar contenido relacionado y, además, contribuye a mejorar el SEO de tu página.
Ventajas de automatizar el etiquetado de tus publicaciones
Automatizar el etiquetado ofrece múltiples beneficios:
Ahorro de tiempo: Evitas dedicar horas a etiquetar cada publicación manualmente.
Uniformidad: Garantizas que el sistema de etiquetado sea coherente en todo tu sitio.
Mejora del SEO: Las etiquetas correctas permiten que los motores de búsqueda indexen tu contenido de manera eficiente.
Mejor organización: Facilitas la navegación de los usuarios interesados en temas específicos.
Plugins recomendados para automatizar el etiquetado en WordPress
La buena noticia es que no necesitas conocimientos de programación para automatizar el proceso de etiquetado en WordPress. Existen diversos plugins que pueden hacerlo de manera eficaz. A continuación, te presentamos algunos de los más recomendados.
Este plugin es uno de los más completos y populares para automatizar el etiquetado de publicaciones en WordPress. Te permite configurarlo para que añada etiquetas de acuerdo con las palabras clave que aparecen en tus entradas.
Principales características:
Configura palabras clave y términos que el plugin buscará en tus publicaciones.
Añade etiquetas a nuevas entradas o actualiza las etiquetas de publicaciones existentes.
Compatible con publicaciones antiguas, permitiendo aplicar etiquetas retroactivamente.
Cómo usar Automatic Post Tagger:
Instalar y activar el plugin
Primero, descarga e instala el plugin desde el repositorio de WordPress y actívalo.
Añadir palabras clave y asignar etiquetas
El funcionamiento de Automatic Post Tagger se basa en la capacidad de identificar palabras clave en tus publicaciones y asociarlas con etiquetas predefinidas. Para configurarlo, sigue estos pasos:
Definir palabras clave: Comienza introduciendo las palabras o frases clave que deseas que el plugin detecte en tus entradas. Estas deben representar los temas principales de tu contenido. Por ejemplo, si tu blog se enfoca en tecnología y publicas frecuentemente sobre “inteligencia artificial”, “big data” o “computación en la nube”, estas frases clave deben reflejar los tópicos centrales.
Asignar etiquetas: Tras definir las palabras clave, asigna las etiquetas correspondientes. Por ejemplo, si el plugin detecta la palabra “inteligencia artificial”, podrías hacer que añada automáticamente la etiqueta “IA”. Igualmente, podrías vincular “big data” con la etiqueta “Análisis de Datos” y “computación en la nube” con “Cloud Computing”.
Consejo: Es importante utilizar palabras clave específicas para evitar un etiquetado excesivo o impreciso. En lugar de palabras generales como “inteligencia”, es mejor optar por términos más concretos como “inteligencia artificial” para asegurar que las etiquetas se apliquen solo cuando el contenido trate de ese tema en particular.
Configuración avanzada de palabras clave
Automatic Post Tagger ofrece opciones avanzadas para ajustar cómo se aplican las etiquetas, brindando mayor control sobre el proceso. Algunas de las configuraciones más útiles incluyen:
Cantidad mínima de coincidencias: Puedes definir un número mínimo de veces que una palabra clave debe aparecer en una publicación antes de que se aplique una etiqueta. Esto es ideal para evitar que una etiqueta se aplique por una mención esporádica. Por ejemplo, si decides que la palabra clave “tecnología” debe aparecer al menos tres veces en una publicación para activar la etiqueta “Tecnología”, puedes establecer ese umbral en la configuración.
Coincidencia parcial o exacta: Puedes elegir entre coincidencias exactas o parciales para las palabras clave. Las coincidencias exactas solo etiquetan cuando la palabra clave aparece tal como la has definido, mientras que las coincidencias parciales permiten detectar términos en variaciones más amplias. Por ejemplo, si seleccionas coincidencia parcial para “inteligencia”, el plugin podrá etiquetar publicaciones que mencionen “inteligencia artificial”, “inteligencia emocional”, entre otras variantes.
Agrupación de palabras clave
Otra funcionalidad clave es la agrupación de palabras clave, que permite asociar varias palabras clave con una misma etiqueta. Esto es útil cuando un mismo tema se refiere con diferentes términos. Por ejemplo, puedes agrupar “machine learning”, “aprendizaje automático” y “ML” bajo la etiqueta “Machine Learning”. Esto asegura que todas las variaciones relevantes del tema queden etiquetadas de manera coherente.
Guardar cambios y aplicar reglas
Una vez que hayas definido todas tus palabras clave y etiquetas, no olvides hacer clic en Guardar cambios. El plugin comenzará a analizar tanto las nuevas publicaciones como las existentes (si así lo configuras) para aplicar las etiquetas de forma automática, optimizando la organización y el SEO de tu sitio.
TaxoPress es otro plugin destacado que permite etiquetar automáticamente tus publicaciones en WordPress. Además de facilitar el proceso de etiquetado, te ayuda a gestionar taxonomías como categorías y etiquetas de manera más eficiente.
Principales características:
Etiquetado automático: Añade etiquetas automáticamente basadas en el contenido de tus publicaciones.
Sugerencias de etiquetas: El plugin genera recomendaciones de etiquetas para que puedas seleccionar las más adecuadas.
Gestión de taxonomías: TaxoPress permite limpiar etiquetas duplicadas y organizar mejor tus taxonomías.
Cómo utilizar TaxoPress:
Instala y activa el plugin: Descárgalo desde el panel de WordPress y actívalo.
Accede a TaxoPress: Una vez activado, ve a la sección de TaxoPress en el menú de administración de WordPress.
Configura las reglas de etiquetado: Define las reglas de etiquetado automático según tus preferencias, para que se ajusten a las necesidades de tu sitio y a los temas que tratas en tus publicaciones.
Aplica etiquetas a nuevas y antiguas entradas: Con un solo clic, puedes aplicar etiquetas automáticamente tanto a las nuevas publicaciones como a las existentes, facilitando la organización y el SEO de tu sitio web.
Tag Groups es una excelente opción avanzada que no solo automatiza el etiquetado, sino que también organiza las etiquetas en grupos, lo cual es útil para sitios con mucho contenido.
Principales características:
Agrupación de etiquetas: Organiza tus etiquetas en conjuntos, mejorando la estructura y el orden de tu sitio.
Etiquetado automático: Añade etiquetas a tus publicaciones de manera automática a partir del contenido.
Mejora la navegación: Permite a los usuarios filtrar y navegar de manera más eficiente mediante sistemas de etiquetado.
Cómo utilizar Tag Groups:
Descarga e instala el plugin: Descárgalo desde el repositorio oficial de WordPress y actívalo.
Accede a Tag Groups: Una vez instalado, dirígete a la sección Tag Groups en el menú lateral de WordPress.
Configura los grupos y reglas de etiquetado: Define cómo deseas agrupar tus etiquetas y establece las reglas para el etiquetado automático según los temas de tus publicaciones.
Guarda los cambios: Una vez configurado, el plugin comenzará a funcionar automáticamente en segundo plano, organizando y etiquetando tus publicaciones.
Configuración avanzada de los plugins
Para aprovechar al máximo la automatización del etiquetado, sigue estos consejos:
Palabras clave relevantes: Asegúrate de que las palabras clave que asocias con las etiquetas estén alineadas con los temas de tu blog. Si tu blog es de tecnología, usa términos como “innovación”, “gadgets”, “software”, etc.
Revisión manual: Aunque los plugins automatizan gran parte del trabajo, revisa periódicamente las etiquetas aplicadas para asegurar su precisión.
Evitar redundancia: No abuses del número de etiquetas por entrada. Idealmente, entre 3 y 5 etiquetas por publicación son suficientes para mantener la claridad y mejorar el SEO.
¿Cómo influye el etiquetado automático en el SEO?
El etiquetado automático no solo organiza mejor tu contenido, sino que también optimiza el SEO al asegurarte de que las palabras clave relevantes estén presentes en todas tus publicaciones. Esto ayuda a los motores de búsqueda como Google a indexar tus páginas de manera más eficiente, lo que aumenta tu visibilidad en los resultados de búsqueda.
Resumen
La automatización del etiquetado en WordPress es una forma efectiva de ahorrar tiempo, mejorar la organización del sitio y potenciar el SEO. Plugins como Automatic Post Tagger, TaxoPress y Tag Groups son herramientas clave para este propósito. Implementar esta solución te ayudará a tener un sitio más eficiente y bien organizado.
No olvides revisar periódicamente las etiquetas automáticas para asegurar su precisión y evitar afectar negativamente la experiencia del usuario o el rendimiento SEO.
Una pregunta común es cómo bloquear ciertos rastreadores, arañas web o bots para que no accedan a tu sitio. Puedes hacerlo utilizando el archivo robots.txt, pero se sabe que algunos rastreadores web ignoran esta solicitud. Una forma más confiable de bloquear bots es usar tu archivo .htaccess.
¿Qué son los rastreadores web?
Los rastreadores web, a menudo conocidos como arañas o bots, navegan sistemáticamente por la web y realizan tareas automatizadas en tu sitio. Pueden realizar tareas como:
Comprobar enlaces en tu contenido hacia otros sitios web
Validar tu código HTML para verificar errores
Guardar información como el número de sitios a los que enlazas o que enlazan a tu sitio
Almacenar tu sitio y contenido en un “archivo”
Algunos bots son más maliciosos y buscarán en tu sitio web direcciones de correo electrónico o formularios para enviarte spam o incluso buscarán riesgos de seguridad en tu código.
Lo que necesitas para comenzar a bloquear rastreadores web
Antes de que puedas comenzar a bloquear rastreadores web utilizando .htaccess, necesitarás algunas cosas:
Tu sitio debe estar en un servidor Apache. Nuestros servidores cPanel trabajando todos con Apache salvo el servidor LiteSpeed. En nuestros servidores Apache podrán crear o modificar un archivo .htaccess.
Necesitas acceso a los registros sin procesar del servidor de tu sitio para poder encontrar los nombres de las arañas web que deseas bloquear (a menos que ya sepas cuáles son). En cPanel proporcionamos la herramienta AwStats que permite revisar las estadísticas de visitas que recibió su sitio web.
Nota: a menos que bloquees todos los bots que intentan acceder a tu sitio web, nunca podrás bloquearlos por completo. Constantemente se crean nuevos bots y se modifican los existentes para eludir cualquier cosa que coloques en tu archivo .htaccess. Lo mejor que puedes esperar es dificultar el acceso a los bots malintencionados que quieren enviarte spam o hackearte.
Bloqueo de robots en tu archivo .htaccess
Para comenzar, necesitas descargar tu archivo .htaccess mediante FTP y hacer una copia de seguridad en caso de que necesites restaurarlo más tarde. Los ejemplos a continuación te mostrarán cómo bloquear bots utilizando la dirección IP o la cadena del User-Agent.
Bloqueo por dirección IP
Puedes bloquear IPs específicas en .htaccess fácilmente usando el siguiente código:
Order Deny,Allow
Deny from 127.0.0.1
Obviamente, deberás cambiar 127.0.0.1 por la dirección IP que deseas bloquear. Order Deny,Allow simplemente significa que si el servidor web recibe una solicitud que coincide con la regla Deny, la denegará. Si no coincide, la permitirá.
La segunda línea le indica al servidor que niegue cualquier solicitud proveniente de 127.0.0.1, lo que generará un mensaje de Forbidden (Prohibido) en lugar de mostrar la página solicitada.
Puedes agregar más direcciones IP añadiendo más líneas Deny from en tu .htaccess:
Order Deny,Allow
Deny from 127.0.0.1
Deny from 215.146.3.3
Deny from 190.86.1.1
Bloqueo de bots por cadena de User-Agent
La forma más fácil de bloquear rastreadores web por cadena de User-Agent es utilizar una función especial integrada en Apache llamada RewriteEngine. Puedes detectar fácilmente los User-Agents y enviarles un error 403 Forbidden. Supongamos que queremos bloquear algunos bots de motores de búsqueda:
Este código toma una lista de condiciones (RewriteCond) y les aplica una regla.
F significa Forbidden (Prohibido), lo que genera un error 403.
L significa que es la última regla del conjunto, por lo que no se evaluarán más reglas después de esta.
Guardando los cambios
Una vez que hayas hecho los cambios y bloqueado los bots o IPs que desees, puedes guardar el archivo .htaccess y subirlo a tu servidor, sobrescribiendo el archivo original.
Puedes mantener el archivo actualizado a medida que necesites bloquear nuevos bots o IPs. Si cometes un error, puedes revertirlo utilizando el archivo .htaccess original o simplemente eliminando las reglas agregadas.
El tema “Alone – Charity Multipurpose Non‑profit”, muy popular para organizaciones y ONG, tiene una falla de seguridad grave identificada como CVE‑2025‑5394, con una puntuación de 9.8 sobre 10. Esta vulnerabilidad ha sido explotada activamente por atacantes, permitiendo tomar el control total de sitios web sin necesidad de autenticación previa.
¿En qué consiste la vulnerabilidad?
El error se encuentra en la función alone_import_pack_install_plugin() del tema, que no verifica permisos de usuario ni usa mecanismos anti‑CSRF.
Cualquier persona puede ejecutar una llamada AJAX que ordene al sitio descargar e instalar un plugin malicioso desde una URL controlada por el atacante.
Así es posible ejecutar código remoto (RCE), cargar web shells, backdoors o archivos PHP maliciosos para tomar control completo del sitio, crear cuentas de administrador ocultas, redirigir a páginas maliciosas o minar criptomonedas.
Versiones afectadas y actualizaciones
Todas las versiones hasta la 7.8.3 inclusive están vulnerable.
La versión corregida, 7.8.5, fue publicada el 16 de junio de 2025.
Según Wordfence, se detectaron más de 120.900 intentos de explotación desde el 12 de julio de 2025, dos días antes de la divulgación pública.
Cómo puede afectarte
Un atacante puede:
Robar información sensible (datos de usuarios, clientes, etc.)
Inyectar malware o redireccionar tráfico
Crear cuentas administrativas encubiertas
Usar los recursos del servidor para actividades ilícitas
Desfigurar o eliminar el sitio por completo
Recomendaciones rápidas para proteger tu sitio
Actualiza ya el tema Alone a la versión 7.8.5 o superior si lo utilizas.
Audita los plugins instalados: elimina los que no reconozcas o estén inactivos.
Revisa usuarios con rol de administrador: elimina cuentas sospechosas o desconocidas.
Verifica los registros de acceso (logs) buscando solicitudes a /wp-admin/admin-ajax.php?action=alone_import_pack_install_plugin
Ten siempre copias de seguridad recientes y confiables para restaurar rápidamente en caso de ataque.
Implementa un WAF (Web Application Firewall) para bloquear intentos de explotación conocidos.
Realiza auditorías de seguridad periódicas, incluidos escaneos de malware y análisis de integridad.
Limita los tipos de archivo que se puedan subir (bloquea .php, .exe, etc.) y controla los permisos del directorio de subida.
Resumen
La vulnerabilidad CVE‑2025‑5394 en el tema Alone es una alerta roja para quienes utilizan WordPress en entornos profesionales o públicos. Si empleas este tema, actualiza de inmediato a la versión parcheada 7.8.5, auditá tus plugins y usuarios, y adopta una postura de seguridad proactiva para evitar compromisos serios.
Gestionar traducciones en WordPress: cómo liberar espacio eliminando idiomas innecesarios
A lo largo del tiempo, es común que una instalación de WordPress acumule archivos de traducción correspondientes a idiomas que no se utilizan. Estos archivos no solo ocupan espacio en el servidor, sino que también consumen inodos y pueden enlentecer procesos como las actualizaciones, ya que WordPress descarga automáticamente los archivos de idioma para plugins y temas, independientemente de si están activos o no.
Aunque WordPress facilita la incorporación de nuevos idiomas —permitiendo que cada usuario visualice el panel en su lengua si hay traducciones disponibles—, lo cierto es que no ofrece una herramienta nativa para gestionar o eliminar idiomas instalados. Ante esta limitación, una alternativa práctica es recurrir a un plugin como Simple Translation Remover, que permite visualizar y eliminar fácilmente los idiomas que ya no se necesitan, desde una interfaz simple y sin intervenir directamente en los archivos del sistema.
Al instalar este complemento, se presenta un modo de solo visualización, en el cual puedes ver todos los archivos de traducción vinculados a un idioma específico sin que se elimine nada por accidente. Esta función es útil para evaluar qué archivos están ocupando espacio antes de tomar una decisión definitiva.
Si decidís activar la opción de eliminación, el plugin procederá a borrar físicamente del servidor todos los archivos de idioma seleccionados. Estos desaparecerán completamente del sistema hasta que se vuelvan a instalar de forma manual. Esta característica convierte al plugin en una solución eficaz para liberar espacio y mantener la instalación más liviana.
El funcionamiento es claro: seleccionas los idiomas que ya no usas (excepto el idioma predeterminado, que no puede eliminarse), y el plugin los elimina sin afectar otras partes del sitio. No deja restos, no interfiere con el funcionamiento de WordPress y cumple con su cometido de forma rápida y segura.
En resumen, Simple Translation Remover es una herramienta sencilla, pero potente que facilita la limpieza de archivos de traducción obsoletos, ayudando a mantener un entorno más ordenado y optimizado sin complicaciones técnicas.
