Cuando se habla de hosting compartido o servidores dedicados/VPS, dos herramientas aparecen siempre: WHM y cPanel. Aunque muchos los mencionan como si fueran lo mismo, en realidad cumplen funciones totalmente distintas, pensadas para diferentes tipos de usuarios.
En este artículo te explico de forma clara y práctica cuáles son sus diferencias, para qué sirve cada uno y cuándo vas a utilizar uno u otro.
¿Qué es cPanel?
cPanel es el panel de control orientado al usuario final, es decir, a los dueños de cada sitio web o cuenta de hosting.
¿Para qué sirve cPanel?
cPanel permite administrar recursos individuales de un dominio o cuenta:
✔ Crear correos electrónicos ✔ Administrar archivos (File Manager) ✔ Crear bases de datos MySQL ✔ Instalar aplicaciones con Installatron o Softaculous ✔ Gestionar DNS del dominio ✔ Ver métricas de uso (CPU, ancho de banda) ✔ Configurar SSL/HTTPS ✔ Administrar FTP ✔ Gestionar backups propios
Es la herramienta que usan los clientes, no los administradores del servidor.
¿Qué es WHM?
WHM (WebHost Manager) es el panel de control orientado al administrador del servidor o al revendedor de hosting, incluso webmasters.
WHM actúa como una capa superior a todas las cuentas cPanel.
¿Para qué sirve WHM?
Con WHM se administran todas las cuentas cPanel, así como la configuración general del servidor:
✔ Crear, suspender o eliminar cuentas cPanel ✔ Configurar paquetes/planes de hosting ✔ Administrar el servicio de email (Exim) ✔ Gestionar la configuración de PHP (versiones, handlers, límites) ✔ Revisar el uso de recursos del servidor ✔ Configurar firewall (CSF/LFD si está instalado) ✔ Administrar DNS a nivel global ✔ Realizar backups completos del servidor ✔ Monitorear servicios críticos (MySQL, Apache, FTP, Mail, FTP) ✔ Ejecutar tareas de mantenimiento como /scripts/fixquotas, account transfers, etc.
En pocas palabras, WHM controla el servidor completo. cPanel solo controla una cuenta dentro del servidor.
Relación entre WHM y cPanel
Lo más fácil es verlo como una estructura jerárquica:
Servidor
└── WHM (administrador)
├── cPanel cuenta 1
├── cPanel cuenta 2
├── cPanel cuenta 3
└── ...
WHM crea y maneja cuentas. cPanel administra lo que ocurre dentro de cada cuenta.
Ejemplo práctico
Imagina que administras un VPS o un cloud, incluso una cuenta reseller que ofrecemos, donde alojas 30 clientes:
Desde WHM creas 34 cuentas cPanel, como nuestro producto Pack 34, donde cada una cuenta con su dominio, su cuota de disco y su plan.
Cada cliente ingresa a su cPanel y gestiona su sitio sin afectar a otros.
Si mañana quieres suspender una cuenta por uso indebido o modificar su cuota de disco, lo haces desde WHM, no desde cPanel.
WHM y cPanel: conclusiones finales
cPanel es para administrar tu sitio.
WHM es para administrar el servidor y las cuentas cPanel.
Ambas herramientas funcionan juntas, pero cumplen roles totalmente distintos. Por eso, cuando uno accede a WHM, está entrando en el nivel superior, con permisos avanzados que no tiene un usuario común.
Si te gustó este artículo, suscríbete a nuestro canal de YouTube para videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en Twitter, Facebook e Instagram.
WordPress es el gestor de contenidos más utilizado del mundo, lo que también lo convierte en uno de los principales objetivos de ataques cibernéticos. Desde intentos de fuerza bruta hasta inyecciones de malware, la seguridad debe ser una prioridad para cualquier administrador web. Aquí es donde MalCare entra en juego: una solución completa de seguridad diseñada especialmente para sitios en WordPress.
🔍 ¿Qué es MalCare?
MalCare es un plugin de seguridad para WordPress que ofrece protección automática, inteligente y sin sobrecargar el servidor. A diferencia de otros sistemas que dependen de análisis locales, MalCare realiza el escaneo de malware en sus propios servidores, evitando así consumir recursos del hosting.
Fue desarrollado por el equipo de BlogVault, conocido por sus soluciones de respaldo y migración para WordPress, por lo que cuenta con una sólida reputación en el ecosistema.
🚀 Principales funciones de MalCare
Escaneo automático de malware
Detecta código malicioso oculto, puertas traseras y archivos infectados.
Los análisis se ejecutan en la nube, sin afectar el rendimiento del sitio.
Incluye escaneo diario automático y escaneo manual bajo demanda.
Limpieza de malware con un clic
Si se detecta una infección, MalCare permite limpiar el sitio con un solo clic.
No requiere conocimientos técnicos ni intervención de expertos externos.
Firewall de aplicación web (WAF)
Bloquea solicitudes maliciosas y ataques antes de que lleguen al servidor.
Filtra tráfico sospechoso y evita accesos de bots dañinos.
Protección de inicio de sesión
Implementa protección contra ataques de fuerza bruta.
Permite limitar intentos de acceso y habilitar autenticación de dos factores (2FA).
Monitoreo de actividad
Permite ver qué cambios se realizan en el sitio.
Ayuda a detectar comportamientos inusuales o accesos no autorizados.
Gestión de sitios múltiples
Ideal para agencias o administradores que manejan varios sitios.
Desde un único panel se pueden monitorear, escanear y limpiar todos los sitios conectados.
⚙️ Cómo usar MalCare paso a paso
1. Instalar el plugin
Inicia sesión en el panel de WordPress.
Ve a Plugins → Añadir nuevo y busca “MalCare Security”.
Haz clic en Instalar ahora y luego en Activar.
2. Conectar el sitio
Al activar MalCare, se te pedirá conectar tu sitio con la plataforma de MalCare (requiere una cuenta gratuita).
Este paso permite al sistema realizar escaneos en la nube y mostrar resultados en tu panel.
3. Realizar el primer escaneo
Una vez conectado, MalCare escaneará tu sitio automáticamente.
Si detecta malware, te mostrará un informe detallado de los archivos afectados.
4. Activar el firewall
Desde el panel de MalCare, activa el Web Application Firewall para proteger tu sitio en tiempo real.
5. Revisar alertas y mantenimiento
Configura los informes por correo electrónico para recibir notificaciones ante cualquier amenaza.
Realiza escaneos manuales cada cierto tiempo y verifica la actividad del sitio.
💡 Consejos adicionales de seguridad para WordPress
Aunque MalCare es una excelente herramienta, la seguridad total se logra combinando buenas prácticas:
Usa contraseñas fuertes y activa 2FA para todos los usuarios con acceso al panel.
Evita instalar plugins o temas de fuentes no oficiales.
Realiza copias de seguridad automáticas con una herramienta confiable como BlogVault o UpdraftPlus.
Implementa HTTPS con un certificado SSL válido.
La seguridad de tu sitio web en WordPress no es algo opcional: es una necesidad. MalCare te ofrece una solución práctica, automatizada y efectiva para detectar y eliminar malware, proteger tus accesos y mantener tu sitio en línea sin interrupciones.
Si estás buscando una forma sencilla de mantener tu WordPress seguro sin complicarte, MalCare es una de las opciones más completas y accesibles del mercado.
Si te gustó este artículo, suscríbete a nuestro canal de YouTube para videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en Twitter, Facebook e Instagram.
En muchas consultas a nuestro soporte técnico, vemos preguntas como: ¿Por qué sigo viendo una versión vieja de mi sitio web?, o ¿He actualizado mi página y se sigue viendo la anterior? A todos nos ha pasado alguna vez: ingresamos a una página web, el diseñador dice que ya actualizó todo… pero en nuestra pantalla seguimos viendo lo mismo de antes. La causa más común: la caché.
¿Qué es la caché del navegador?
La caché (o “cache”) es un sistema de almacenamiento temporal que guarda partes de las páginas web en tu computadora, como imágenes, hojas de estilo, scripts o incluso texto. Su objetivo es simple: acelerar la carga.
Por ejemplo, si visitas una página todos los días, tu navegador no necesita descargar todos los archivos cada vez; los toma de la caché local, lo que hace que el sitio se abra más rápido.
Hasta ahí, todo bien. El problema surge cuando el contenido del sitio cambia, pero tu navegador sigue usando la versión vieja almacenada.
🕵️♀️ ¿Por qué algunas personas ven el sitio actualizado y otras no?
Cada computadora, navegador o incluso red puede comportarse diferente. Estas son las causas más frecuentes:
Caché del navegador: es la más común. Tu navegador guarda archivos viejos y no los reemplaza de inmediato.
Caché del sistema operativo: Windows, macOS o Linux también guardan ciertos archivos temporales que pueden afectar cómo se muestran las páginas.
Caché DNS: tu computadora recuerda a qué dirección IP pertenece cada dominio. Si la web cambió de servidor, puede seguir apuntando al viejo durante un tiempo.
Caché del router o del proveedor de internet (ISP): algunos routers o proveedores almacenan copias temporales de contenido para acelerar la navegación.
CDN o servidores intermedios: si el sitio usa una red de distribución de contenido (como Cloudflare), puede mostrar versiones antiguas hasta que se actualicen sus nodos.
🧹 Limpiar la caché del navegador… y algo más
Cuando un sitio no se ve como debería, lo primero que todos recomiendan es “borrar la caché del navegador”. Y sí, es el primer paso, pero no siempre suficiente.
1️⃣ Limpiar la caché del navegador
Cada navegador lo hace de forma diferente:
Google Chrome:Ctrl + Shift + Supr → elige “Archivos e imágenes en caché” → “Borrar datos”.
También puedes usar herramientas como CCleaner o BleachBit (si prefieres software libre).
macOS:
Abre “Finder” → “Ir” → “Ir a la carpeta” → escribe ~/Library/Caches/ → elimina el contenido con cuidado.
Linux:
Ejecuta sudo apt clean && sudo apt autoremove (en Debian/Ubuntu) o limpia ~/.cache/.
3️⃣ Limpiar la caché DNS
Si el sitio cambió de servidor o IP, tu equipo podría seguir apuntando al anterior. Para forzar la actualización:
Windows: abre la terminal (CMD) y escribe: ipconfig /flushdns
macOS: desde la terminal ejecuta: sudo dscacheutil -flushcache
Linux:sudo systemd-resolve --flush-caches
⚡ Otros consejos útiles
Prueba desde otro dispositivo o red: a veces el problema está en el router o proveedor.
Usa Ctrl + F5: fuerza una recarga completa ignorando la caché del navegador.
Verifica desde herramientas externas: sitios como IsItDownRightNow o GTMetrix te muestran cómo otros servidores ven la página.
La caché es una gran aliada para navegar más rápido, pero también puede ser la causa de grandes dolores de cabeza cuando los cambios en un sitio no se reflejan. Aprender a limpiar no solo la caché del navegador, sino también la del sistema y DNS, te ayudará a ver siempre la versión más reciente de cualquier página web.
Si te gustó este artículo, suscríbete a nuestro canal de YouTube para videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en Twitter, Facebook e Instagram.
Cambiar las URLs de tu sitio web en WordPress puede parecer intimidante para los principiantes, pero es una habilidad importante. A lo largo de los años, hemos ayudado a propietarios de sitios web a cambiar sus URLs al pasar de HTTP a HTTPS, cambiar nombres de dominio, transferir a un subdominio, migrar de un servidor local a un sitio en vivo, e incluso cuando simplemente estaban reestructurando su contenido.
¿Por qué cambiar las URLs de un sitio WordPress?
Existen varias razones por las que podrías necesitar o querer cambiar las URLs de tu sitio WordPress:
Necesitas actualizar las URLs del sitio al mover WordPress de un servidor local a un sitio en vivo.
Si has trasladado tu sitio WordPress a un nuevo nombre de dominio, deberás cambiar las URLs del sitio para reflejar el cambio.
Debes cambiar las URLs del sitio porque estás moviendo WordPress a un directorio diferente, como eliminar /wordpress/ de tu URL de WordPress.
También será necesario cambiar las URLs al pasar WordPress de HTTP a HTTPS.
Además de eso, puede que necesites cambiar la configuración de la dirección de WordPress si estás viendo el error de “demasiados redireccionamientos” en WordPress o al solucionar otro problema en WordPress.
¿Cuál es la diferencia entre la dirección de WordPress y la dirección del sitio?
Al cambiar la URL de tu WordPress, necesitarás actualizar dos configuraciones diferentes: la dirección de WordPress y la dirección del sitio.
Esto puede ser confuso para muchos principiantes, ya que no conocen la diferencia entre estas dos configuraciones:
La dirección de WordPress (URL) es la dirección donde se almacenan tus archivos y carpetas de WordPress, incluidos tus páginas de administración, archivos multimedia, plugins, temas y más.
La dirección del sitio (URL) en WordPress es la parte pública de tu sitio web. Es lo que los visitantes escribirán en sus navegadores para acceder a tu página web.
Para la mayoría de los usuarios, la dirección de WordPress y la dirección del sitio serán iguales.
Sin embargo, en algunos casos, las grandes empresas pueden alojar sus sitios de WordPress en un servidor diferente porque su sitio corporativo tiene muchas otras aplicaciones, y desean aislar dónde se aloja cada aplicación para mejorar la seguridad de WordPress.
Ahora, veamos cómo cambiar fácilmente las URLs de un sitio web en WordPress.
Método 1: Cambiar las URLs del sitio de WordPress desde el área de administración
Este método es el más sencillo y adecuado para principiantes. Si tienes acceso al panel de administración de WordPress, te recomendamos usar este método.
Simplemente, inicia sesión en el panel de control de WordPress y ve a Ajustes » Generales.
Aquí podrás cambiar las URLs de tu sitio WordPress en las casillas de Dirección de WordPress y Dirección del sitio.
Como mencionamos, para la mayoría de los sitios web, estas URLs serán las mismas.
Después de realizar los cambios, haz clic en el botón Guardar cambios para guardar las modificaciones en las URLs.
Ahora, visita tu sitio web para asegurarte de que todo funcione correctamente.
Método 2: Cambiar las URLs del sitio de WordPress usando el archivo functions.php
Si no puedes acceder al panel de administración de WordPress, necesitarás usar este método.
Primero, conecta tu sitio de WordPress utilizando un cliente FTP.
Luego, localiza la carpeta de tu tema de WordPress. Para la mayoría de los usuarios, será algo como /wp-content/themes/tu-carpeta-de-tema/.
Dentro de esta carpeta, abre el archivo functions.php y edítalo con tu editor de texto preferido, como Notepad o TextEdit.
A continuación, añade el siguiente código al final del archivo:
Guarda los cambios y vuelve a subir el archivo al servidor mediante FTP.
Ahora, visita tu sitio web para verificar si todo funciona correctamente.
La ventaja de este método es que actualiza las URLs del sitio directamente en la base de datos. WordPress ejecutará esta actualización cada vez que se cargue el archivo functions.php.
Una vez que tu sitio funcione correctamente, puedes eliminar las dos líneas de código del archivo functions.php de tu tema.
Método 3: Cambiar las URLs del sitio de WordPress usando el archivo wp-config.php
Si no estás seguro de qué tema de WordPress necesitas editar o no puedes encontrar el archivo functions.php, puedes usar este método.
Deberás añadir las URLs de tu sitio web al archivo de configuración de WordPress, llamado wp-config.php. Este archivo se encuentra en la carpeta raíz de tu sitio web y contiene configuraciones importantes de WordPress.
Pasos para realizar el cambio:
Conéctate a tu sitio web mediante un cliente FTP Para más detalles, consulta una guía sobre cómo usar FTP para subir archivos a WordPress.
Ubica el archivo wp-config.php Este archivo normalmente se encuentra en la carpeta raíz de tu dominio.
Edita el archivo wp-config.php Abre el archivo en un editor de texto y añade el siguiente código justo encima de la línea que dice: ‘That’s all, stop editing! Happy publishing’ define( 'WP_HOME', 'https://example.com' ); define( 'WP_SITEURL', 'https://example.com' );
Reemplaza https://example.com Sustituye https://example.com con el nombre de dominio de tu sitio web.
Guarda los cambios y sube el archivo al servidor Usa tu cliente FTP para subir el archivo modificado nuevamente al servidor.
Verifica tu sitio web Visita tu sitio para asegurarte de que todo funciona correctamente.
Nota:
Este método sobrescribe las configuraciones de URL en el panel de administración de WordPress, por lo que no podrás editarlas desde allí mientras este código esté presente en el archivo wp-config.php.
Método 4: Cambiar las URLs del sitio de WordPress en la base de datos usando phpMyAdmin
Otra forma de actualizar las URLs de tu sitio WordPress es cambiarlas directamente en la base de datos de WordPress. Esto se puede hacer desde el panel de control de tu cuenta de hosting.
Pasos para realizar el cambio:
Realiza una copia de seguridad de tu base de datos Antes de proceder, recomendamos crear una copia de seguridad de la base de datos de WordPress. Esto es muy importante y te permitirá deshacer los cambios en caso de que algo salga mal.
Accede a phpMyAdmin Inicia sesión en el panel de control de tu cuenta de hosting y haz clic en el icono de phpMyAdmin en la sección de Bases de datos. Esto abrirá la aplicación phpMyAdmin, que ofrece una interfaz web para editar bases de datos MySQL.
Selecciona tu base de datos de WordPress En la columna izquierda, haz clic en tu base de datos de WordPress. Esto mostrará las tablas dentro de la base de datos.
Abre la tabla wp_options Haz clic en la tabla wp_options.
Por defecto, el prefijo de las tablas es wp_, pero si lo has cambiado, este prefijo podría ser diferente.
Localiza las filas ‘siteurl’ y ‘home’ Dentro de la tabla wp_options, busca la columna option_name y localiza las filas que contienen siteurl y home.
Edita los valores
Haz clic en el icono de lápiz Editar que aparece a la izquierda de cada fila.
Cambia el campo option_value con la nueva URL de tu sitio.
Guarda los cambios Después de realizar los cambios, haz clic en el botón Go en la esquina inferior derecha para guardar los cambios en la base de datos.
Verifica tu sitio web Visita tu sitio para asegurarte de que todo funciona correctamente.
Nota:
Este método es avanzado y debe hacerse con precaución. Cualquier error al editar la base de datos podría causar problemas en tu sitio web. Asegúrate de realizar la copia de seguridad antes de realizar cambios.
Si te gustó este artículo, suscríbete a nuestro canal de YouTube para videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en Twitter, Facebook e Instagram.
Cuando registramos un dominio en internet —por ejemplo, tudominio.com—, lo que realmente estamos haciendo es reservar un nombre fácil de recordar que funcionará como “puerta de entrada” a nuestros servicios web y de correo. Detrás de ese nombre existe un sistema llamado DNS (Domain Name System), encargado de traducirlo en direcciones IP que las computadoras pueden entender.
En este artículo veremos qué es el DNS, cómo funciona, los tipos de registros más comunes, qué significa el TTL, qué es una zona DNS y, finalmente, cómo acceder a la configuración en los paneles más utilizados: cPanel, Plesk y HestiaCP.
¿Qué es y cómo funciona el DNS?
El DNS actúa como la agenda telefónica de internet. Cuando escribes www.tudominio.com en tu navegador:
Tu computadora consulta un servidor DNS.
Ese servidor busca la dirección IP asociada al dominio.
Devuelve la IP correspondiente (por ejemplo, 203.0.113.25).
El navegador se conecta a esa IP y carga la página web.
Gracias a este sistema no tenemos que memorizar números largos, sino simplemente nombres fáciles de recordar.
Tipos de registros DNS más comunes
Dentro de una zona DNS existen distintos registros, cada uno con una función específica:
A: Apunta el dominio o subdominio a una dirección IPv4.
AAAA: Similar al registro A, pero para direcciones IPv6.
CNAME: Alias de otro dominio (útil para apuntar subdominios a un nombre existente).
MX: Define los servidores de correo encargados de recibir emails del dominio.
TXT: Guardan información en texto plano, muy usados para SPF, DKIM o verificación de servicios externos (ej. Google Workspace).
NS: Indican los servidores de nombres responsables de la zona DNS.
SRV: Especifican servicios especiales como VoIP, mensajería o aplicaciones.
PTR: Inverso del registro A, traduce IP → dominio, importante en reputación de correo.
¿Qué es el TTL en DNS?
El TTL (Time To Live) es el tiempo (en segundos) que un registro DNS puede ser guardado en la caché de otros servidores.
Un TTL bajo (ejemplo: 300 segundos = 5 minutos) permite que los cambios se propaguen más rápido.
Un TTL alto (ejemplo: 86400 segundos = 24 horas) reduce la cantidad de consultas y mejora el rendimiento.
Elegir el TTL adecuado depende de la estabilidad de tu configuración y la frecuencia con la que planees hacer cambios.
¿Qué es una zona DNS?
La zona DNS es el archivo o conjunto de registros que definen cómo funciona un dominio en internet:
Qué servidor carga la web.
Qué servidor recibe el correo.
Qué alias o subdominios existen.
En términos simples, la zona DNS es “el panel de control” de todos los registros relacionados con tu dominio.
¿Dónde encontrar la zona DNS en los paneles de control?
En cPanel
Inicia sesión en tu cuenta de cPanel.
Busca el apartado Dominios → Zone Editor o Editor de zonas DNS.
Allí podrás agregar, editar o eliminar registros A, CNAME, MX, TXT, etc.
Desde allí puedes gestionar los registros y editar la zona.
Conclusión
El DNS es uno de los pilares fundamentales de internet. Comprender cómo funciona y cómo gestionarlo desde tu panel de control te permitirá resolver problemas comunes (como caídas de correo o errores al apuntar un dominio) y tener mayor control sobre tus servicios.
Ya sea que uses cPanel, Plesk o HestiaCP, saber manejar la zona DNS te dará autonomía y reducirá la dependencia de soporte técnico para tareas básicas.
Si te gustó este artículo, suscríbete a nuestro canal de YouTube para videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en Twitter, Facebook e Instagram.
¿Alguna vez has notado que, al actualizar un plugin o realizar cambios en WordPress, tu sitio muestra un mensaje temporal que dice: «Briefly unavailable for scheduled maintenance. Check back in a minute»?
En español, este aviso significa: «No disponible por mantenimiento programado. Vuelve a comprobar en unos minutos». Esto ocurre porque WordPress activa automáticamente un modo de mantenimiento para completar el proceso de actualización de manera segura. Sin embargo, en algunas ocasiones, este mensaje puede quedarse más tiempo del esperado, afectando la navegación de los usuarios.
Optimizar y personalizar el mantenimiento programado en WordPress te ayudará a minimizar el tiempo de inactividad y mejorar el rendimiento de tu sitio web.
Introducción al mantenimiento programado en WordPress
Cuando realizas actualizaciones en tu sitio web, WordPress activa automáticamente un modo de mantenimiento para garantizar que los usuarios no experimenten fallos o interrupciones mientras se aplican cambios en plugins, temas o en el núcleo del sistema.
No obstante, la página de mantenimiento que aparece por defecto es bastante simple y poco atractiva, lo que puede generar una experiencia poco profesional para los visitantes.
En este artículo, te explicaremos cómo personalizar la página de mantenimiento en WordPress para que refleje mejor la identidad de tu sitio y ofrezca una apariencia más profesional mientras se llevan a cabo actualizaciones.
Activando manualmente el modo de mantenimiento en WordPress
Antes de personalizar la página de mantenimiento, es importante saber cómo activarla manualmente. Sigue estos pasos:
Crea un archivo llamado .maintenance en la raíz de tu sitio web (al igual que .htaccess, debe comenzar con un punto).
Inserta el siguiente código dentro del archivo: <?php $upgrading = time(); ?>
Guarda los cambios y accede a tu sitio. Debería mostrarse el aviso de mantenimiento.
¿Cómo funciona este proceso?
Dentro del archivo wp-includes/load.php, WordPress utiliza la función wp_maintenance, que activa el modo de mantenimiento cuando se cumplen dos condiciones:
Debe existir el archivo .maintenance en la raíz del sitio.
La variable $upgrading, comparada con el tiempo actual en segundos, debe ser menor a 600 (10 minutos).
Por defecto, WordPress mantiene el sitio en modo mantenimiento durante un máximo de 10 minutos. Sin embargo, al asignar time() a $upgrading, nos aseguramos de que el modo de mantenimiento permanezca activo hasta que eliminemos el archivo .maintenance manualmente.
Personalización de la página de mantenimiento en WordPress
El aviso de mantenimiento predeterminado de WordPress es muy básico. Para hacer que se vea más atractivo y alineado con el estilo de tu sitio, puedes crear una página personalizada.
Creando una página de mantenimiento personalizada
Dentro de la carpeta wp-content de tu instalación de WordPress, crea un archivo llamado maintenance.php.
Añade código HTML y CSS personalizado en ese archivo.
WordPress utilizará este archivo en lugar del mensaje predeterminado.
De esta manera, puedes incluir tu logotipo, los colores de tu marca, mensajes personalizados e incluso enlaces a redes sociales para mantener informados a tus visitantes.
Aquí tienes un ejemplo de código para una página de mantenimiento personalizada:
Este código genera una página de mantenimiento con un diseño atractivo, una imagen SVG y encabezados adecuados. Además, envía un código HTTP 503 para indicar que el sitio está temporalmente fuera de servicio e incluye un Retry-After para sugerir cuándo estará disponible nuevamente.
Eliminación del archivo .maintenance
Una vez finalizadas las actualizaciones, debes eliminar el archivo .maintenance de la raíz de tu sitio. Este archivo es generado por WordPress durante el proceso de actualización y, al eliminarlo, el sitio volverá a la normalidad.
Cada vez que WordPress active el modo de mantenimiento, el sistema utilizará automáticamente la página personalizada maintenance.php que creaste dentro de wp-content, asegurando una mejor presentación del aviso de mantenimiento.
Conclusión
Personalizar la página de mantenimiento en WordPress es una excelente manera de mejorar la experiencia de los visitantes durante las actualizaciones del sitio. Al activar manualmente el modo de mantenimiento y diseñar un archivo maintenance.php, puedes ofrecer una presentación más alineada con tu marca en lugar del mensaje estándar de WordPress. Esto no solo da una imagen más profesional a tu sitio, sino que también proporciona información clara a los usuarios mientras realizas mejoras. Además, al eliminar el archivo .maintenance después de cada actualización, garantizas que tu página personalizada se muestre en futuras ocasiones, manteniendo una experiencia de usuario optimizada y coherente.
Si te ha gustado este artículo, suscríbete a nuestro canal de YouTube para ver videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en Twitter, Facebook e Instagram.
WordPress es muy popular entre bloggers, desarrolladores y empresas. Debido a esta popularidad, los atacantes no tardan en localizar dónde se encuentran los recursos sensibles. Por defecto, en cualquier sitio WordPress, el acceso principal está claramente identificado como [nombre del dominio/wp-login.php] o /wp-admin/. Incluso en sitios pequeños, los registros del servidor pueden mostrar cientos de intentos fallidos de inicio de sesión provenientes de proxies residenciales y botnets que cambian constantemente sus direcciones IP. Si un atacante logra comprometer una sola cuenta, podría instalar un plugin malicioso, crear una puerta trasera, inyectar spam SEO o usar el sitio para alojar malware oculto, lo que dañaría la reputación, el posicionamiento en buscadores y los ingresos de forma directa y significativa.
¿Qué tan segura es la página de inicio de sesión de WordPress?
WordPress incluye funciones básicas de seguridad por defecto. No obstante, estas protecciones integradas suelen ser insuficientes para detener a atacantes persistentes. La página de inicio de sesión estándar puede estar vulnerable a diferentes tipos de amenazas, entre ellas:
Ataques de fuerza bruta
Relleno de credenciales
Intentos de phishing
Ataques de intermediario
Para obtener una mayor protección, deberá superar los valores predeterminados y agregar capas de seguridad adicionales.
10 capas defensivas para la seguridad del inicio de sesión en WordPress
A continuación, analizaremos cómo los atacantes apuntan a la página de inicio de sesión y luego repasaremos algunas configuraciones que ayudan a cerrar las brechas más comunes, como credenciales sólidas, autenticación de dos factores, limitación de velocidad y monitoreo en tiempo real.
1. Emplee contraseñas con alta complejidad en todos los lugares
Las campañas de robo de credenciales se basan en que los usuarios reutilizan sus contraseñas en diferentes servicios. Los kits de phishing y los ladrones de información descargan millones de credenciales a diario. Los atacantes introducen estas listas en scripts que buscan /wp-login.php coincidencias de credenciales.
2. Mueva la URL de inicio de sesión a una ruta no predeterminada
Los escáneres genéricos están diseñados para verificar las rutas de inicio de sesión predeterminadas, así que use una ruta distinta a la predeterminada para reducir la exposición a escáneres que solo buscan valores predeterminados. Esto no detiene a un atacante específico, pero filtra una oleada masiva de escáneres genéricos. Una opción para ocultar la URL de inicio de sesión es usar un plugin como WPS Hide Login:
En Configuración > Ocultar inicio de sesión de WPS, especifique el nuevo slug (ejemplo: /secure-gateway/).
Guarde los cambios y registre la nueva URL en su administrador de contraseñas.
Recomendación
No publique la nueva ruta en documentación pública ni en foros de soporte.
Mantenga una segunda cuenta de administrador que omita el complemento en caso de que la regla de reescritura esté mal configurada.
3. Imponga límites estrictos a los inicios de sesión fallidos
Las herramientas de fuerza bruta disponibles pueden repetir las conjeturas de contraseñas en rápida sucesión, especialmente cuando el sitio responde rápidamente.
El robo de credenciales suele provenir de navegadores sin interfaz gráfica o CURL. CAPTCHA bloquea estas ejecuciones automatizadas con mínima fricción para los usuarios.
Una buena alternativa es utilizar la siguiente herramienta:
Aplicar desafíos a los formularios de inicio de sesión, registro y restablecimiento de contraseña.
6. Reforzar wp-config.php contra la manipulación posterior a la explotación
Si un atacante accede al panel de control o obtiene acceso de escritura a archivos, puede inyectar puertas traseras a través del editor de temas o los instaladores de plugins. Deshabilitar estas funciones obliga a los atacantes a buscar una primitiva de escritura del lado del servidor, lo que aumenta el nivel de exigencia.
Puedes realizar las siguiente acciones para reforzar tu WP: Añade las siguientes líneas arriba /* That's all, stop editing! */
7. Ocultar los nombres de usuario de los autores de la vista del público
Muchas herramientas automatizadas ejecutan el análisis de enumeración, /?author=1que devuelve una redirección a [nombre de dominio /author/username/]. Esta filtración le entrega al atacante la mitad del problema del inicio de sesión.
Para bloquear este tipo de acciones, lo puedes realizar añadiendo lo siguiente a tu .htaccess
Ahora si visitas la url /?author=1. Espera una redirección instantánea a la página de inicio o un error 403. Las entradas del blog deben mostrar el apodo, pero no el nombre de usuario.
8. Eliminar cuentas de usuario inactivas o desconocidas
En WordPress, las cuentas obsoletas —ya sean de exempleados, pruebas o correos comprometidos— pueden convertirse en puertas de entrada para los atacantes. Mantenerlas activas rompe con el principio de privilegio mínimo, una de las bases esenciales de la seguridad.
9. Purgar y elimina complementos y temas no utilizados
Se revelan vulnerabilidades graves en plugins y temas con frecuencia. Mantener instalados componentes sin usar o desactualizados aumenta el riesgo, incluso si están desactivados, ya que pueden ejecutarse directamente mediante la inclusión de archivos.
Inicie sesión en su panel de administración de WordPress.
Vaya a Panel de control > Complementos > Inactivos .
Revise y elimine cualquier complemento que ya no utilice.
Nuevamente, la desactivación no neutraliza el riesgo. Elimínelo por completo a menos que sea necesario para la puesta en escena.
10. Parchee el núcleo, los complementos y los temas de WordPress inmediatamente
lgunas vulnerabilidades se explotan ampliamente poco después de su divulgación, pero la aplicación rápida de parches reduce el tiempo de exposición de su sitio web. Aplique las correcciones de inmediato y considere un firewall de aplicaciones web para reducir el riesgo mientras actualiza.
Conclusiones
Los atacantes se centran en la página de inicio de sesión de WordPress porque su ubicación es predecible y de un solo factor de forma predeterminada.
Las defensas en capas, como contraseñas seguras, URL ocultas, limitación de velocidad, autenticación de dos factores, CAPTCHA, refuerzo de la configuración y gestión estricta de parches, detienen la gran mayoría de los ataques del mundo real.
Un firewall de aplicaciones de sitios web acelera el proceso al brindar parches virtuales y protección automatizada contra fuerza bruta lista para usar.
Las copias de seguridad periódicas son la solución cuando todas las demás medidas fallan. Si no cuenta con copias de seguridad diarias externas, configúrelas ahora.
Si te ha gustado este artículo, suscríbete a nuestro canal de YouTube para ver videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en Twitter, Facebook e Instagram.
Microsoft, a través de algunos de sus servicios como Outlook.com, Office 365 o Exchange Online, bloquea o degrada el correo entrante según la reputación de la IP remitente, fallas de autenticación, comportamiento sospechoso, spam/malware detectado y quejas de usuarios. Estas decisiones se basan en telemetría, listas de reputación y reglas automáticas; hay canales para ver datos (SNDS), pedir delisting y —lo más importante— medidas concretas que los remitentes y usuarios pueden aplicar para evitarlo.
¿Qué hace exactamente Microsoft cuando “bloquea” una IP?
Cuando Microsoft considera que la IP está enviando correo abusivo o peligroso, puede:
Rechazar conexiones SMTP (rebotes con códigos 5.7.x), o marcar/filtrar el correo como spam en la bandeja de entrada del destinatario.
Colocar la IP en pools de baja prioridad o en listas internas donde el tráfico se somete a más inspección y control.
Exigir verificaciones adicionales a remitentes de alto volumen (autenticación obligatoria y otras exigencias).
¿Por qué bloquean IPs?
Mala reputación de IP — historial de envíos con muchos rebotes, spam o actividad sospechosa. (reputación = factor principal).
Altas tasas de queja (spam) — cuando usuarios marcan o reporta los mensajes como spam.
Falta de autenticación — SPF/DKIM/DMARC ausentes o mal configurados; remitente no autenticado es mucho más fácil de bloquear.
Malware / botnets — equipos comprometidos que generan grandes cantidades de spam (zombies) desde una IP o rangos. Esto provoca listado tipo Realtime Blackhole List (RBL) como Spamhaus y genera bloqueos por proveedores.
Formularios explotados o cuentas comprometidas — formularios webforms sin protección o cuentas con credenciales robadas. Desde Sitios Hispanos, una medida de protección fue bloquear la función mail().
¿Cómo Microsoft lo detecta?
Telemetría propia y heurísticas: análisis volumétrico, patrones de contenido y señales de abuso.
SNDS (Smart Network Data Services): Microsoft permite a propietarios de IPs ver métricas de reputación, tasas de spam, y volumen hacia Outlook.com/Live/Hotmail. Es una herramienta clave para diagnosticar por qué Outlook puede estar penalizando tus IPs. Este sistema también es conocido como Outlook Postmaster.
Feedback de usuarios / JMRP (Junk Mail Reporting Program) y bloqueos automáticos basados en señales externas (blacklists públicas).
Efectos visibles para quien envía
Mensajes rebotados con códigos 5.7.x y mensajes de rechazo (NDR) que suelen indicar la IP.
Llegada a carpeta “spam” o cuarentena para destinatarios Office 365.
Pérdida de entregabilidad sostenida si no se corrige la causa raíz.
Recomendaciones técnicas para evitar bloqueos
Implementar SPF, DKIM y DMARC (con política de monitor primero y luego reject/quarantine cuando estés listo). Microsoft está endureciendo requisitos para remitentes de alto volumen; autenticación completa es básica hoy.
Alineamiento de From: el dominio visible en From: debe coincidir (o estar alineado) con DKIM o SPF para DMARC.
TLS / puerto 587 con AUTH: forzar envío autenticado (submission) en vez de permitir relays no autenticados por port 25.
Cerrar open-relay y asegurar los formularios webforms con captcha, ratelimit, validación.
Evitar contenido típico de spam (links acortados, imágenes sin texto, palabras sospechosas, attachments ejecutables).
Comprobar blocklists públicas (Spamhaus, etc.) periódicamente; muchas infraestructuras y MS usan esos datos como input.
Pasos concretos si Microsoft bloqueó tu IP
Leer el NDR y copiar el código de error y la IP enviada. (ej. 5.7.XXX).
Revisar SNDS para la IP/rango (si puedes registrar la red) y ver métricas de reputación.
Buscar la IP en blocklists públicas (Spamhaus, etc.).
Corregir la causa raíz: limpiar cuentas comprometidas, cerrar open relays, arreglar SPF/DKIM/DMARC, limpiar listas, parchear/actualizar servidor o eliminar malware.
Solicitar delisting a Microsoft vía el portal oficial (Office 365 Anti-Spam IP Delist / sender.office.com). Asegurate de haber resuelto la causa antes de pedir delisting; si no, te volverán a bloquear.
Medidas específicas para usuarios de escritorio (Outlook, Thunderbird, clientes nativos)
Si el spam sale desde tu PC (o sospechas que tu equipo está enviando correos no autorizados):
Cambiar la contraseña de la cuenta comprometida y revocar sesiones/tokens en la configuración del proveedor.
Revoquear permisos de aplicaciones de terceros (apps/móviles que tuviste conectadas). Muchos envíos maliciosos usan apps autorizadas.
Analizar el equipo con antivirus/antimalware actualizado (Microsoft Defender u otro) y eliminar amenazas detectadas. Hacer un escaneo profundo y revisar procesos/servicios sospechosos.
Verificar reglas de bandeja (inbox rules/forwarding) — los atacantes crean reglas ocultas para exfiltrar mensajes o enviar spam. Eliminar reglas sospechosas.
No usar redes públicas inseguras para conectarte a cuentas críticas sin VPN o sin conexiones encriptadas.
Microsoft protege a millones de usuarios con reglas y sistemas automáticos que filtran tanto spam como amenazas. El bloqueo de IPs no es arbitrario: proviene de señales medibles (reputación, autenticación, malware y quejas). La buena noticia es que la mayoría de los problemas son evitables con medidas técnicas (SPF/DKIM/DMARC, PTR, uso de IPs correctas, lista limpia) y operativas (monitorización, SNDS/JMRP, borrado de cuentas comprometidas). Cuando ocurra un bloqueo, arregla la causa y usa el portal de delisting — pedir el desbloqueo antes de arreglar el problema, solo te hará retornar al bloqueo.
Un archivo llms.txt es relativamente nuevo en el ecosistema web y está vinculado a cómo los modelos de lenguaje (LLMs) como ChatGPT, Claude, Gemini, etc., interactúan con sitios web.
📌 ¿Qué es?
Es un archivo de texto plano que se coloca en la raíz del dominio (https://tusitio.com/llms.txt).
Similar a robots.txt, pero pensado específicamente para indicar permisos, restricciones o lineamientos sobre el uso de contenido del sitio por parte de modelos de IA.
Sirve para declarar políticas de acceso, atribución, entrenamiento y uso de datos que los LLMs deberían respetar.
Está pensado para ser legible tanto para humanos como para sistemas de IA, utilizando principalmente el formato Markdown.
📌 ¿Para qué sirve?
Puedes usarlo para permitir o bloquear que los modelos de IA.
Ofrecer directivas específicas para modelos IA sobre qué contenido puede usarse para entrenamiento, generación de respuestas, u otro tipo de interacción, diferenciando incluso entre tipos de modelos o proveedores.
Reducir elementos innecesarios (scripts, menús, anuncios) y garantizar que la data presentada sea clara y válida para procesamientos automáticos
Accedan a determinadas secciones del sitio.
También puede incluir información de licencias o créditos.
❌ No. El llms.txtno depende de WordPress ni de ningún CMS específico. Se puede usar en cualquier tipo de sitio web (estático, dinámico, hecho en WordPress, Joomla, Drupal, Laravel, HTML puro, etc.).
Lo importante es que esté disponible en la raíz pública del dominio para que los bots de IA lo detecten.
📄 Ejemplo de llms.txt
# llms.txt - Directivas para modelos de lenguaje (LLMs)
# Especificamos que estas reglas aplican a todos los LLMs
User-Agent: *
# Bloqueamos carpetas sensibles de WordPress
Disallow: /wp-admin/
Disallow: /wp-includes/
Disallow: /wp-content/plugins/
Disallow: /wp-content/themes/
Disallow: /cgi-bin/
# Permitimos contenido público indexable
Allow: /wp-content/uploads/
Allow: /blog/
Allow: /productos/
Allow: /
# Política de uso del contenido
Policy: NoTraining # No se permite usar este contenido para entrenar IA
Policy: LimitedUse # Solo se puede usar para generación de snippets/resúmenes
# Atribución obligatoria al mostrar extractos
Attribution: Required
# Información de contacto
Contact: admin@tusitio.com
# Fuente de licencia de contenido
License: https://tusitio.com/licencia-contenido
📌 Explicación de las directivas
User-Agent: a quién aplican las reglas (* = todos los LLMs).
Disallow / Allow: similar a robots.txt, define qué carpetas o rutas puede usar un modelo de IA.
Policy:
NoTraining → prohíbe usar el contenido para entrenar modelos.
LimitedUse → permite mostrarlo en resúmenes o snippets, pero no entrenar.
Attribution: Required → obliga a citar la fuente.
Contact / License → añade transparencia y respaldo legal.
👉 Recomendación: si tu enfoque es SEO y quieres que Google, Bing u otros bots tradicionales sigan indexando el contenido, no uses el llms.txt para bloquear / completo, solo apunta a IA.
El archivo llms.txt aún no es un estándar universal, pero está ganando espacio por la importancia creciente de la IA en internet y la necesidad de ofrecer marcos claros para la indexación y uso de contenidos por sistemas inteligentes.
En agosto de 2025, se ha detectado una campaña cibernética que está explotando más de 100 sitios WordPress comprometidos para redirigir a sus visitantes hacia páginas falsas de verificación CAPTCHA. Esta amenaza ha sido denominada ShadowCaptcha por la Agencia Nacional Digital de Israel.
¿Cómo Funciona ShadowCaptcha?
La campaña comienza cuando un usuario visita un sitio WordPress infectado que ha sido inyectado con código JavaScript malicioso. Este código inicia una cadena de redirecciones que lleva al usuario a una página de CAPTCHA falsa, diseñada para parecer legítima, imitando servicios como Cloudflare o Google.
A partir de aquí, el ataque se bifurca en dos caminos:
Uno usa el diálogo de ejecución de Windows para lanzar installadores MSI que infectan el sistema con programas maliciosos como los stealers Lumma y Rhadamanthys.
El otro guía al usuario para que guarde una página como una Aplicación HTML (HTA) y la ejecute con mshta.exe, lo que culmina en la instalación del ransomware Epsilon Red.
Técnicas y Objetivos de ShadowCaptcha
ShadowCaptcha combina técnicas de ingeniería social, el uso de herramientas legítimas de Windows (LOLBins) y múltiples etapas de carga de malware para obtener y mantener acceso en los sistemas afectados.
Los atacantes buscan principalmente:
Robar credenciales e información sensible desde el navegador.
Instalar mineros de criptomonedas para generar ganancias ilícitas.
Desplegar ransomware que puede cifrar y bloquear los archivos de las víctimas.
Una característica destacada es que estos ataques usan comandos que se copian automáticamente al portapapeles del usuario sin su interacción, confiando en que el usuario los pegue y ejecute sin sospechar.
Distribución y Sectores Afectados
Los sitios WordPress comprometidos por ShadowCaptcha se encuentran mayormente en países como Australia, Brasil, Italia, Canadá, Colombia e Israel. Los sectores afectados incluyen tecnología, hostelería, finanzas, salud y bienes raíces.
Medidas de Mitigación Recomendadas
Para protegerse de ShadowCaptcha y amenazas similares, se recomienda:
Capacitar a los usuarios para identificar campañas de ingeniería social como ClickFix.
Segmentar redes para limitar el movimiento lateral de los atacantes.
Evolución del Fraude en WordPress
Además, la campaña ShadowCaptcha se relaciona con otra amenaza llamada Help TDS, un sistema de distribución de tráfico malicioso activo desde 2017, que utiliza plugins falsos para redirigir a los usuarios y robar credenciales, demostrando cómo estos ataques evolucionan para ser cada vez más sofisticados y difíciles de detectar.
Este panorama evidencia la importancia de fortalecer la seguridad en WordPress y la vigilancia constante ante nuevas tácticas de ciberataques que combinan engaños y abusos de herramientas legítimas para lograr sus objetivos maliciosos.
