¿Te preocupa que la web en un hosting compartido sea vulnerable y no sabes por dónde empezar? Muchas webs pequeñas empiezan en planes económicos y necesitan soluciones de seguridad que funcionen sin complicaciones y sin romper el sitio.
Esta guía concreta responde a la pregunta central: seguridad en hosting compartido . Ofrece decisiones prácticas para principiantes, explica qué plugins instalar según el tipo de web, qué errores evitar y cómo actuar ante un incidente sin acceso root.
Puntos clave: Lo que debes saber en 1 minuto
El hosting compartido tiene límites : hay riesgo de contaminación cruzada y restricciones técnicas; la seguridad no depende solo de plugins.
Un firewall local puede ayudar, pero no siempre compensa en compartido: priorizar WAF del proveedor y reglas .htaccess si el host limita recursos.
Plugins anti-malware ligeros existen : elegir escáneres que usen muestreos o programación nocturna para no ralentizar el sitio.
Copias automáticas son imprescindibles en compartido: mejor usar backups remotos o del proveedor con retención y exportación.
Costes ocultos : licencias premium, uso de CPU por escaneos y restauraciones pueden generar cargos o suspensiones en planes muy básicos.
Por qué la seguridad en hosting compartido requiere un enfoque distinto
El hosting compartido significa que varios sitios comparten el mismo servidor y recursos. Eso conlleva dos realidades prácticas para la seguridad:
Aislamiento imperfecto : si una cuenta vecina es comprometida, existe riesgo de contagio si el host no usa aislamiento fuerte (ej. CloudLinux/CageFS).
Restricciones operativas : sin root no se puede instalar agentes a bajo nivel ni modificar configuraciones globales.
Por tanto, la estrategia para seguridad en hosting compartido debe combinar: medidas a nivel proveedor , configuraciones seguras a nivel WordPress y herramientas que sean ligeras y previsibles .
¿Vale la pena un firewall en hosting compartido?
Respuesta directa: depende. Un firewall de aplicación (WAF) añade protección, pero en hosting compartido hay matices.
Si el proveedor ofrece un WAF a nivel servidor (ModSecurity con reglas mantenidas o un WAF en la CDN), sí suele ser suficiente y preferible. Estas soluciones filtran tráfico antes de consumir recursos del hosting.
Si el proveedor no ofrece WAF, instalar un firewall a nivel WordPress puede ayudar, pero puede consumir CPU y generar falsos positivos. En planes muy limitados puede causar penalizaciones por uso excesivo.
Cuándo sí instalar un firewall en WordPress:
Sitios con formularios públicos, múltiples usuarios o ecommerce.
Cuando el proveedor no tenga WAF y el tráfico sea manejable.
Cuándo no instalarlo o hacerlo con cautela:
Planes compartidos con límites estrictos de CPU/IO.
Si el proveedor bloquea procesos de largo recorrido o escaneos programados.
Recomendación práctica: priorizar el WAF del host o de la CDN (Cloudflare, Sucuri Firewall) y, si se instala un plugin firewall en WordPress, configurarlo en modo registrar primero para medir impacto.
✉
¿Quieres más información? Escríbenos y te orientamos
¿Qué plugin anti-malware funciona sin ralentizar WordPress?
Para hosting compartido la prioridad es ligereza y control del horario de escaneos . Plugins recomendables por su equilibrio:
MalCare: escaneo remoto (no usa CPU del host), bueno para compartido; tiene versión gratuita y premium.
Sucuri (plugin): actúa principalmente como conexión al servicio en la nube; el escaneo se realiza fuera del servidor en la mayoría de flujos.
Wordfence (versión gratuita): muy completo pero puede ser pesado en planes limitados si se usa escaneo en tiempo real; se puede configurar para escaneos nocturnos y limitar concurrencia.
Defender (WP Defender / WPMU DEV): opciones de escaneo programado y módulos desactivables, menos intrusivo si se ajusta.
Consejos para minimizar impacto:
Programar escaneos en horas de baja carga. No dejar escaneos en hora punta.
Desactivar escaneos en tiempo real si el plugin los ofrece y el host penaliza uso de CPU.
Usar plugins que ofrezcan escaneo remoto o en la nube (MalCare, Sucuri) cuando sea posible.
Me conviene usar copias automáticas en hosting compartido?
Sí , y con precisión: las copias automáticas son la primera línea de defensa contra fallos, hacks y errores del usuario.
Qué buscar en backups para hosting compartido:
Backups remotos : que se puedan descargar o restaurar desde fuera del panel del host.
Frecuencia y retención : al menos copias diarias y 14-30 días de retención para sitios críticos; para blogs pequeños, backups semanales pueden bastar.
Separación de recursos : que los backups no ocupen el espacio principal del hosting (almacenamiento externo como S3, Google Drive o backups del proveedor con espacio separado).
Facilidad de restauración : un solo clic y opción de restauración parcial (base de datos o archivos) sin intervención del soporte.
Opciones seguras y fáciles:
Plugin UpdraftPlus (versión gratuita permite backups y envío a Google Drive/Dropbox; premium añade encriptación y restauraciones programadas).
BlogVault/MalCare (servicios externos con almacenamiento remoto y restauraciones automáticas).
Backups del proveedor: revisar que el host permita exportar copias.
Riesgos de no usar backups automáticos:
Pérdida de contenido ante hack o error humano.
Tiempo de inactividad prolongado mientras se reconstruye el sitio.
Plugins de seguridad fáciles: cuáles elegir para principiantes
Selección práctica y por tipo de web (principiante):
Sitio informativo / blog pequeño:
UpdraftPlus (copias) + MalCare (escaneo remoto) + Really Simple SSL (si necesita SSL)
Web de negocio sin ecommerce:
UpdraftPlus + Sucuri (WAF en la nube si el presupuesto lo permite) + Limit Login Attempts Reloaded (módulo simple anti-bot)
Tienda pequeña (WooCommerce):
Backups externos (BlogVault o UpdraftPlus Premium) + WAF en la nube (Cloudflare/WAF del host) + plugin anti-fraude o 2FA
Criterios de elección para principiantes:
Interfaz clara y asistentes de configuración.
Mínima interacción técnica (plantillas/preconfiguraciones seguras).
Opciones para programar tareas y enviar backups a servicios externos.
Documentación y soporte accesible en español cuando sea posible.
✉
¿Quieres más información? Escríbenos y te orientamos
Wordfence o Sucuri en hosting compartido: cuál elegir
Comparativa rápida (decisión por tipo de necesidad):
Característica
Wordfence (plugin)
Sucuri (servicio + plugin)
Carga en servidor
Mayor si se usan escaneos locales
Baja: escaneo y WAF en la nube
WAF
Sí, local (plugin)
WAF en nube (mejor para compartido)
Escaneo de malware
Local, completo (puede consumir recursos)
Escaneo remoto y options en la nube
Restauración
Manual o con premium
Servicio de respuesta y limpieza (premium)
Precio
Gratis + premium
Servicio en la nube con tarifa anual
Recomendación práctica:
Si el host es limitado: Sucuri (WAF en la nube) suele ser mejor porque reduce uso de CPU.
Si se quiere control local y no hay limitaciones de recursos: Wordfence ofrece grandes herramientas gratuitas, pero conviene ajustar la configuración para no sobrecargar el servidor.
En ambos casos, combinar con backups remotos y la WAF del proveedor es lo más seguro.
Costes ocultos de plugins de seguridad en hosting compartido
Los costes no son solo la licencia. Puntos que generan gastos o problemas:
Consumo de CPU/IO: escaneos intensos pueden disparar límites del plan; el host puede suspender cuentas o pedir upgrade.
Restauraciones asistidas: algunas restauraciones requieren soporte del host o del servicio premium.
Transferencias de datos: backups remotos frecuentes aumentan tráfico saliente en algunos hostings con límites.
Gastos recurrentes: suscripciones anuales a WAF en la nube (ej. Sucuri, Cloudflare Pro) y almacenamiento externo.
Tiempo de configuración y soporte técnico: si algo falla, puede requerir asistencia profesional.
Cómo minimizar costes ocultos:
Elegir plugins con escaneo remoto o programable.
Activar backups incrementales en lugar de completos diarios si el proveedor cobra por transferencia.
Revisar la política del host antes de activar escaneos intensos; consultar soporte para conocer límites.
Checklist práctico: seguridad inicial en hosting compartido (acción rápida)
Revisar si el proveedor tiene WAF o aislamiento (CloudLinux/CageFS) y anotar la configuración.
Instalar backups externos (UpdraftPlus o servicio externo) y probar una restauración.
Aplicar permisos de archivos y ocultar listado de directorios con .htaccess.
Habilitar SSL y forzar HTTPS (Really Simple SSL o configuración del host).
Configurar un plugin ligero anti-malware (MalCare o Sucuri) y programar escaneos nocturnos.
Activar limitación de intentos de login y 2FA si hay accesos múltiples.
✉
¿Quieres más información? Escríbenos y te orientamos
Flujo recomendado de seguridad en hosting compartido
Flujo de seguridad para hosting compartido
🔎
Paso 1: Revisar proveedor y activar WAF/aislamiento
💾
Paso 2: Configurar backups remotos y probar restauración
🛡️
Paso 3: Instalar plugin anti-malware ligero y programar escaneos nocturnos
🔐
Paso 4: Activar 2FA y limitar intentos de acceso
✅
Paso 5: Monitorizar, revisar logs y actualizar regularmente
Ventajas, riesgos y errores comunes
Beneficios / cuándo aplicar ✅
Aplicar WAF del proveedor cuando está disponible: protege sin consumir recursos del plan.
Backups remotos para cualquier web en compartido: imprescindible.
Escaneo remoto o programado : ideal para evitar penalizaciones por CPU.
Errores que debes evitar / riesgos ⚠️
Instalar múltiples plugins de seguridad sin probar compatibilidad.
Ejecutar escaneos completos durante horas punta en planes limitados.
Confiar solo en plugins; el proveedor debe ofrecer aislamiento y WAF.
Preguntas frecuentes
¿Qué es la 'contaminación cruzada' en hosting compartido?
La contaminación cruzada ocurre cuando un atacante compromete una cuenta y, por falta de aislamiento, accede a archivos o bases de datos de otras cuentas. Es un riesgo real si el host no usa mecanismos como CageFS o contenedores.
¿Cómo comprobar si el host usa CloudLinux o CageFS?
Revisar la documentación del proveedor o preguntar al soporte. También se puede buscar en el panel de hosting indicios como "CloudLinux" o "CageFS" y reglas de PHP-FPM por usuario.
¿Puede un plugin sustituir al WAF del proveedor?
No completamente. Un plugin ayuda, pero el WAF del proveedor o en la nube bloquea tráfico antes de llegar al servidor y reduce consumo de recursos.
¿Con qué frecuencia deben realizarse backups en hosting compartido?
Para la mayoría, backups diarios son adecuados. Sitios con muchas transacciones requieren backups cada pocas horas o soluciones incrementales.
¿Qué hacer si el plugin de seguridad ralentiza la web?
Cambiar la configuración: programar escaneos nocturnos, desactivar escaneos en tiempo real o cambiar a un servicio en la nube que haga la mayor parte del trabajo fuera del servidor.
¿Es necesario pagar por Sucuri o Wordfence premium?
No siempre. Para sitios personales, las versiones gratuitas pueden bastar. Para ecommerce o sitios con tráfico, la inversión en WAF y limpieza profesional suele justificarse.
¿Cómo actuar si hay un hack y no se tiene copia?
Pedir al proveedor una instantánea, descargar archivos y base de datos, cambiar contraseñas, restablecer claves y restaurar desde un backup externo. Considerar contratar un servicio de limpieza si no hay experiencia.
¿Pueden los backups ocupar todo el espacio del hosting?
Sí. Por eso elegir almacenamiento remoto (S3, Google Drive, Dropbox) o servicios que mantengan backups fuera del plan principal es importante.
¿Qué permisos de archivo son seguros para WordPress en compartido?
Archivos 644 y carpetas 755 en general. Evitar 777. Si no se conocen estos valores, pedir asistencia al soporte del host.
Pasos siguientes
Revisar hoy la política de seguridad del proveedor y confirmar si ofrece WAF/aislamiento.
Instalar un plugin de backups y hacer la primera copia remota; probar la restauración en un entorno staging.
Elegir un plugin anti-malware ligero (MalCare o Sucuri) y programar escaneos nocturnos.
OWASP y CloudLinux son recursos útiles para entender amenazas y aislamiento en compartido.