Qué es un Prompt

Qué es un Prompt

Un prompt es, en el mundo de la inteligencia artificial generativa, la instrucción o mensaje que le das al modelo para que produzca una respuesta.

Definición clara

  • Es una entrada de texto (a veces también puede incluir imágenes u otros datos) que guía a la IA sobre qué debe hacer, cómo debe responder y en qué tono o estilo.
  • Funciona como una especie de “comando creativo”: cuanto más claro y específico sea, mejor será la salida.

Elementos clave de un buen prompt

  • Contexto: dar información suficiente para que la IA entienda la situación.
  • Tarea: indicar qué quieres que haga (explicar, inventar, traducir, resumir, etc.).
  • Formato: especificar si quieres un poema, lista, diálogo, código, etc.
  • Estilo/Tono: pedir que sea formal, divertido, infantil, técnico, etc.

Ejemplos

  • Prompt simple: “Explica qué es la fotosíntesis.”
  • Prompt elaborado: “Explica qué es la fotosíntesis en un párrafo breve, usando un lenguaje sencillo para niños de 10 años, y añade un ejemplo cotidiano.”

En resumen: un prompt es la forma en que le hablas a la IA para que te dé justo lo que necesitas.

Trucos Avanzados de Prompting

1. Sé específico

  • Cuanto más detalles des, mejor será la respuesta.
  • Ejemplo:
    • Prompt débil: “Haz un cuento.”
    • Prompt fuerte: “Escribe un cuento corto en asturiano sobre una ardilla que descubre la amistad durante el invierno, con un tono infantil y final feliz.”

2. Define el rol de la IA

  • Pídele que actúe como alguien concreto.
  • Ejemplo: “Actúa como un profesor de historia y explica la Revolución Francesa en un tono divertido y accesible para adolescentes.”

3. Indica formato y estilo

  • Puedes pedir listas, diálogos, poemas, canciones, etc.
  • Ejemplo: “Resume la fotosíntesis en 5 viñetas, usando emojis para cada paso.”

4. Combina lenguas o estilos

  • ALIA está pensada para español y lenguas cooficiales, así que puedes mezclar.
  • Ejemplo: “Escribe un poema en gallego y tradúcelo al castellano manteniendo la rima.”

5. Itera y mejora

  • Un prompt inicial puede ser básico, pero luego lo ajustas.
  • Ejemplo:
    • Primer intento: “Haz un chiste sobre robots.”
    • Mejora: “Haz un chiste en castellano sobre robots que intentan cocinar, con humor absurdo.”

🌟 Bonus: La fórmula mágica

Un buen prompt suele tener: [Rol] + [Tarea] + [Contexto] + [Formato] + [Tono]

Ejemplo completo: “Actúa como un narrador de cuentos infantiles y escribe una fábula en asturiano sobre animales que aprenden a compartir durante el invierno, en formato diálogo breve y con un tono alegre.”📌 ¿Qué es un Prompt-a-thon?

  • Evento colaborativo: Es una dinámica inspirada en los hackathons, pero en lugar de programar código, los participantes se dedican a crear y optimizar prompts (instrucciones para modelos de IA generativa).
  • Objetivo principal: Explorar cómo diferentes personas, con creatividad y diversidad cultural, pueden mejorar la interacción con la IA y descubrir aplicaciones útiles en educación, cultura, administración o entretenimiento.
  • Accesible a todos: No hace falta ser programador ni experto en IA. Basta con tener imaginación y saber plantear bien las instrucciones.
  • Formato habitual:
    • Se forman equipos multidisciplinares.
    • Se lanzan retos temáticos (ej. educación, sostenibilidad, humor, cultura).
    • Los participantes diseñan prompts, prueban resultados y los ajustan.
    • Se comparten las mejores ideas y se premia la creatividad.

Diferencias con un Hackathon

HackathonPrompt-a-thon
Centrado en programar código y construir prototiposCentrado en diseñar prompts para IA
Requiere conocimientos técnicosAbierto a cualquier persona
Se busca un producto funcionalSe busca creatividad y calidad en las respuestas de la IA
Equipos de desarrolladoresEquipos diversos: creativos, educadores, técnicos, ciudadanos

🌟 Ejemplo en España

El Prompt-a-thon ALIA es un reto impulsado por la Secretaría de Estado de Digitalización e Inteligencia Artificial. Se usa el modelo público ALIA 40B para que los ciudadanos experimenten con prompts en español y lenguas cooficiales, fomentando la innovación y la soberanía tecnológica.

👉 En resumen: un prompt-a-thon es un maratón creativo de instrucciones para IA, donde la imaginación y la diversidad lingüística son más importantes que la programación.

Comunidad IA de Código Abierto

Comunidad IA de Código Abierto

La secretaría de Estado de Digitalización e Inteligencia Artificial ha anunciado la creación de la comunidad IA de Código Abierto.

Esta comunidad aspira a democratizar el acceso a la Inteligencia Artificial, fomentar la innovación colectiva y evitar que el futuro digital quede en manos de unos pocos. Con esta iniciativa se logra una IA mas accesible para todos, y su puesta a disposición al servicio del interés público.

Su propósito es actuar como punto de encuentro del ecosistema de la IA en España, donde se reúnen desarrolladores, investigadores, empresas y Administración Pública

Objetivos de la Comunidad IA de Código Abierto:

  • Canalizar el liderazgo español en la adaptación e integración de soluciones de IA.
  • Crear un grupo de talento (talent pool) en IA

El punto de entrada será la página del Ministerio para la Transformación Digital y de la Función Pública.

Para fomentar el carácter participativo de la iniciativa se han abierto tres procesos de consulta:

Retos económicos y sociales que podrían solventarse con la IA, y las herramientas tecnológicas que podrían ser útiles para esta comunidad. Visita Comunidad de IA open-source de España.

Se propone crear una red de embajadores de la Comunidad IA de Código Abierto de manera que ayuden a organizar encuentros y retos y avanzar en objetivos. Visita Registro Público embajador comunidad.

El tercero se centra en los compromisos de entidades publico-privadas, dispuestas a realizar apoyar el despliegue efectivo de la comunidad. Visita Consulta Empresas

Puntos fuertes de la Comunidad IA

  • Modelos de IA de código abierto.
  • Modelos de traducción automática y multilingües.
  • Conjunto de datos (datasets). Corpus de texto, voz y traducción automática.
  • Recursos para evaluación y entrenamiento.
  • Computación pública, basadas en redes existentes de código abierto.
  • Hackáthones, programa de formación aplicada y roadshows universitarios.

Actividades participativas

La primera actividad de la Comunidad será el prompt-a-thon Desafío ALIA: Creando una comunidad de IA en España’, en el marco del Programa Nacional de Algoritmos Verdes.

El desafío propone a los participantes experimentar, aprender y contribuir al desarrollo de promptspara una IA más eficiente gracias al modelo ALIA-40B.

ALIA es la nueva infraestructura pública de inteligencia artificial en español y lenguas cooficiales, y un prompt-a-thon es una competición colaborativa inspirada en los hackathons donde se crean y optimizan instrucciones (prompts) para modelos de IA generativa.

🌐 ¿Qué es ALIA?

  • Infraestructura pública de IA: ALIA es un proyecto pionero impulsado por el Gobierno de España y la Unión Europea para ofrecer modelos de lenguaje abiertos y transparentes.
  • Lenguas soportadas: Está diseñado para funcionar en español y lenguas cooficiales (catalán/valenciano, euskera y gallego).
  • Objetivo principal:
    • Reducir la dependencia de grandes tecnológicas extranjeras.
    • Potenciar el uso de datos locales y el patrimonio lingüístico.
    • Garantizar soberanía tecnológica y fomentar la innovación en IA.
  • Ejemplo práctico: ALIA ya se está utilizando en organismos públicos y está disponible para investigadores, empresas y ciudadanos, como un recurso abierto para crear aplicaciones y servicios.

💡 ¿Qué es un Prompt-a-thon?

  • Definición: Un prompt-a-thon es un evento colaborativo, similar a un hackathon, pero centrado en la creación y optimización de prompts (instrucciones que guían a los modelos de IA generativa).
  • Dinámica:
    • Los participantes trabajan en equipos multidisciplinares (técnicos, creativos, de negocio).
    • Se diseñan prompts para que la IA genere textos, imágenes u otros contenidos.
    • Se fomenta la creatividad, el aprendizaje práctico y la experimentación.
  • Ejemplo en España: La Secretaría de Estado de Digitalización lanzó el Prompt-a-thon ALIA, un reto abierto para experimentar con ALIA 40B, la última versión del modelo público español.
    • No requiere conocimientos técnicos avanzados.
    • Busca descubrir cómo los ciudadanos pueden contribuir a mejorar la IA con creatividad y diversidad cultural.

Ejemplos de Prompts en Prompt-a-thon ALIA

  • Creatividad literaria  “Escribe un poema en gallego sobre la importancia de cuidar los bosques, con un tono esperanzador.”
  • Aplicaciones educativas  “Explica la fotosíntesis en euskera como si fueras un profesor de primaria, usando ejemplos sencillos.”
  • Cultura y diversidad  “Genera una historia corta en catalán ambientada en una fiesta popular, destacando valores de cooperación.”
  • Innovación práctica  “Redacta un manual breve en español para enseñar a personas mayores cómo usar una aplicación de mensajería.”
  • Humor y entretenimiento  “Inventa chistes en castellano que jueguen con palabras relacionadas con la tecnología y la vida cotidiana.”

¿Qué se busca en un Prompt-a-thon?

  • Creatividad: que el prompt saque lo mejor del modelo.
  • Diversidad lingüística: aprovechar las lenguas cooficiales.
  • Aplicabilidad: que las respuestas puedan servir en educación, cultura, administración o entretenimiento.
  • Colaboración: los equipos comparten ideas y mejoran los prompts entre todos.

En resumen

  • ALIA: la primera IA pública española, abierta y multilingüe, que refuerza la soberanía tecnológica.
  • Prompt-a-thon: un evento participativo para aprender y divertirse creando instrucciones que hacen que la IA genere respuestas útiles y creativas.

Visita: https://www.ee3.es/que-es-un-prompt/ para más información.

Fuente original: Ministerio para la Transformación Digital y de la Función Pública.

🐧 Cómo crear un subdominio en Linux (Apache)

🐧 Cómo crear un subdominio en Linux (Apache)

Crear un subdominio en Linux requiere acceso al servidor web (como Apache o Nginx) y al sistema de archivos del servidor. Aquí te explico cómo hacerlo paso a paso 🧑‍💻:

1. Crear el directorio del subdominio

bash

sudo mkdir -p /var/www/subdominio.midominio.com/public_html

2. Asignar permisos

bash

sudo chown -R $USER:$USER /var/www/subdominio.midominio.com/public_html

3. Crear el archivo de configuración del subdominio

bash

sudo nano /etc/apache2/sites-available/subdominio.midominio.com.conf

4. Agregar contenido al archivo

apache

<VirtualHost *:80>
    ServerAdmin admin@midominio.com
    ServerName subdominio.midominio.com
    DocumentRoot /var/www/subdominio.midominio.com/public_html
    ErrorLog ${APACHE_LOG_DIR}/error.log
    CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>

5. Activar el sitio

bash

sudo a2ensite subdominio.midominio.com.conf

6. Reiniciar Apache

bash

sudo systemctl restart apache2

7. Configurar DNS

En tu proveedor de dominio, crea un registro tipo A o CNAME apuntando subdominio.midominio.com a la IP de tu servidor.

Crear un subdominio en Linux usando Nginx 🐧:

1. Crear el directorio del subdominio

bash

sudo mkdir -p /var/www/subdominio.midominio.com/html

2. Asignar permisos

bash

sudo chown -R $USER:$USER /var/www/subdominio.midominio.com/html

3. Crear el archivo de configuración

bash

sudo nano /etc/nginx/sites-available/subdominio.midominio.com

4. Agregar contenido al archivo

nginx

server {
    listen 80;
    server_name subdominio.midominio.com;

    root /var/www/subdominio.midominio.com/html;
    index index.html index.htm;

    location / {
        try_files $uri $uri/ =404;
    }
}

5. Activar el subdominio

bash

sudo ln -s /etc/nginx/sites-available/subdominio.midominio.com /etc/nginx/sites-enabled/

6. Probar la configuración

bash

sudo nginx -t

7. Reiniciar Nginx

bash

sudo systemctl restart nginx

8. Configurar el DNS

En el panel de tu proveedor de dominio, crea un registro tipo A apuntando subdominio.midominio.com a la IP de tu servidor.

script automatizado en Bash para crear subdominios en Nginx fácilmente. Solo necesitas ejecutar este script en tu servidor Linux y seguir las instrucciones:

Script: crear_subdominio_nginx.sh

bash

#!/bin/bash

echo "🔧 Creación automática de subdominio en Nginx"

read -p "Introduce el nombre del subdominio (ej. blog): " SUBDOMINIO
read -p "Introduce el dominio principal (ej. midominio.com): " DOMINIO

FULL_DOMAIN="$SUBDOMINIO.$DOMINIO"
ROOT_DIR="/var/www/$FULL_DOMAIN/html"

# Crear directorio
sudo mkdir -p $ROOT_DIR
sudo chown -R $USER:$USER $ROOT_DIR

# Crear archivo de configuración
CONFIG_FILE="/etc/nginx/sites-available/$FULL_DOMAIN"
sudo tee $CONFIG_FILE > /dev/null <<EOF
server {
    listen 80;
    server_name $FULL_DOMAIN;

    root $ROOT_DIR;
    index index.html index.htm;

    location / {
        try_files \$uri \$uri/ =404;
    }
}
EOF

# Activar sitio
sudo ln -s $CONFIG_FILE /etc/nginx/sites-enabled/

# Probar y reiniciar
sudo nginx -t && sudo systemctl restart nginx

echo "✅ Subdominio $FULL_DOMAIN creado y activado."
echo "📁 Puedes subir contenido a: $ROOT_DIR"

¿Qué hace este script?

  • Te pide el nombre del subdominio y el dominio principal.
  • Crea el directorio raíz del subdominio.
  • Genera el archivo de configuración de Nginx.
  • Lo activa y reinicia Nginx.

Versión automatizada para Apache, similar a la que hicimos para Nginx. Con este script podrás crear subdominios en tu servidor Linux con Apache de forma rápida:

Script: crear_subdominio_apache.sh

bash

#!/bin/bash

echo "🔧 Creación automática de subdominio en Apache"

read -p "Introduce el nombre del subdominio (ej. blog): " SUBDOMINIO
read -p "Introduce el dominio principal (ej. midominio.com): " DOMINIO

FULL_DOMAIN="$SUBDOMINIO.$DOMINIO"
ROOT_DIR="/var/www/$FULL_DOMAIN/public_html"

# Crear directorio
sudo mkdir -p $ROOT_DIR
sudo chown -R $USER:$USER $ROOT_DIR

# Crear archivo de configuración
CONFIG_FILE="/etc/apache2/sites-available/$FULL_DOMAIN.conf"
sudo tee $CONFIG_FILE > /dev/null <<EOF
<VirtualHost *:80>
    ServerAdmin admin@$DOMINIO
    ServerName $FULL_DOMAIN
    DocumentRoot $ROOT_DIR
    ErrorLog \${APACHE_LOG_DIR}/$FULL_DOMAIN-error.log
    CustomLog \${APACHE_LOG_DIR}/$FULL_DOMAIN-access.log combined
</VirtualHost>
EOF

# Activar sitio
sudo a2ensite $FULL_DOMAIN.conf

# Probar y reiniciar
sudo apache2ctl configtest && sudo systemctl reload apache2

echo "✅ Subdominio $FULL_DOMAIN creado y activado."
echo "📁 Puedes subir contenido a: $ROOT_DIR"

¿Qué hace este script?

  • Te pide el nombre del subdominio y el dominio principal.
  • Crea el directorio raíz del subdominio.
  • Genera el archivo de configuración de Apache.
  • Lo activa y reinicia Apache.
Como se combate un Ciberataque

Como se combate un Ciberataque

Explicación sobre como se combate un Ciberataque. Para combatir un ciberataque se requiere una respuesta rápida, estructurada y coordinada que incluya detección, contención, erradicación, recuperación y análisis posterior. La prevención y preparación previa son claves para minimizar el impacto.

Fases para combatir un ciberataque

Según el modelo Cyber Kill Chain y expertos en ciberseguridad, estas son las etapas clave para enfrentar un ataque:

Prevención (antes del ataque)

  • Auditorías de seguridad periódicas
  • Actualización constante de sistemas, software y contraseñas
  • Formación en ciberseguridad para empleados (evitar phishing, ingeniería social)
  • Segmentación de redes y uso de firewalls/WAF
  • Copias de seguridad externas y cifradas

Detección (inicio del ataque)

  • Monitorización activa con SIEMs y herramientas como Snort, Suricata o CrowdStrike
  • Alertas por comportamiento anómalo: accesos no autorizados, tráfico inusual, cambios en archivos

Contención

  • Desconectar sistemas comprometidos de la red para evitar propagación
  • Bloquear accesos sospechosos (IPs, usuarios, puertos)
  • Activar protocolos de emergencia definidos en el plan de respuesta

Erradicación

  • Eliminar malware, scripts o accesos maliciosos
  • Reinstalar sistemas si es necesario
  • Revocar credenciales comprometidas

Recuperación

  • Restaurar servicios desde backups seguros
  • Verificar integridad de los datos
  • Reforzar medidas de seguridad antes de reabrir el sistema

Análisis post-incidente

  • Revisar logs y vectores de ataque
  • Documentar el incidente
  • Ajustar políticas y protocolos para evitar futuras brechas

Herramientas clave para combatir ataques

  • EDR (Endpoint Detection & Response): CrowdStrike, SentinelOne
  • Antivirus avanzado: Bitdefender, Kaspersky, Sophos
  • Firewall y WAF: pfSense, Cloudflare, Fortinet
  • SIEM: Splunk, IBM QRadar, Elastic Security
  • Backup y recuperación: Veeam, Acronis, Backblaze

Consejos prácticos

  • Mantén la calma: actuar con rapidez pero sin precipitación.
  • No pagues rescates: en ataques de ransomware, salvo que sea absolutamente necesario.
  • Informa a las autoridades: en España, puedes contactar con INCIBE o la Guardia Civil (Grupo de Delitos Telemáticos).
  • Revisa el cumplimiento del RGPD: especialmente si se han comprometido datos personales.

Combatir un Ciberataque

Aquí tienes una guía práctica para combatir un ciberataque, adaptada a empresas, sitios web y usuarios individuales:

Estrategia completa para combatir un ciberataque

🔍 1. Detección inmediata

  • Usa herramientas como WordfenceSucuri, o CrowdStrike para detectar actividad sospechosa.
  • Revisa logs de acceso, cambios en archivos, y alertas de tu firewall o antivirus.

🛑 2. Contención rápida

  • Desconecta el sistema afectado de la red para evitar propagación.
  • Cambia contraseñas de administradores y usuarios clave.
  • Bloquea IPs maliciosas y desactiva accesos externos si es necesario.

3. Erradicación del ataque

  • Elimina malware, scripts o accesos no autorizados.
  • Reinstala plugins o componentes comprometidos.
  • Escanea todo el sistema con herramientas como MalCareVirusdie, o ClamAV.

4. Recuperación segura

  • Restaura desde una copia de seguridad limpia.
  • Verifica integridad de archivos y base de datos.
  • Reabre el sistema solo cuando esté completamente limpio.

5. Análisis post-incidente

  • Documenta el ataque: origen, vector, impacto.
  • Revisa qué falló: plugins, contraseñas, configuración.
  • Ajusta tu plan de respuesta y refuerza medidas.

Herramientas recomendadas

Tipo de herramientaEjemplos destacados
Antivirus/EDRBitdefender, SentinelOne, CrowdStrike
Firewall/WAFCloudflare, Fortinet, pfSense
Backup y restauraciónUpdraftPlus, Acronis, Veeam
MonitorizaciónWPVulnerability, WP Activity Log, Splunk

Consejos clave

  • Actúa rápido pero con cabeza. No tomes decisiones sin evaluar el alcance.
  • No pagues rescates. En ataques de ransomware, busca ayuda profesional.
  • Informa a las autoridades. En España, puedes contactar con INCIBE o la Guardia Civil (Grupo de Delitos Telemáticos).
  • Revisa el cumplimiento del RGPD. Si se han comprometido datos personales, debes notificarlo.

Configurar Alertas Automáticas

Aquí tienes una guía para configurar alertas automáticas de seguridad en WordPress.org, ideal para detectar vulnerabilidades, accesos sospechosos y cambios no autorizados:

🔔 1. Instalar WPVulnerability

Este plugin gratuito te alerta sobre vulnerabilidades en WordPress, plugins y temas.

Pasos:

  1. Ve a Plugins > Añadir nuevo.
  2. Busca WPVulnerability.
  3. Instálalo y actívalo.
  4. Accede a Herramientas > WPVulnerability para ver el estado de seguridad.
  5. Activa las notificaciones por correo en su configuración.

🕵️ 2. Configurar Wordfence Security

Wordfence es uno de los plugins más potentes para alertas automáticas.

Funciones clave:

  • Escaneo de malware.
  • Alertas por correo ante accesos sospechosos.
  • Bloqueo de IPs maliciosas.

Pasos:

  1. Instala Wordfence Security desde el repositorio.
  2. Ve a Wordfence > All Options.
  3. En Alertas por correo, activa:
    • Notificarme cuando alguien acceda como administrador.
    • Notificarme cuando se detecte una amenaza crítica.
    • Notificarme cuando se actualice WordPress, plugins o temas.

📋 3. Registro de actividad con WP Activity Log

Este plugin registra todo lo que ocurre en tu sitio: cambios de contenido, accesos, modificaciones de plugins, etc.

Pasos:

  1. Instala WP Activity Log.
  2. Configura alertas en Activity Log > Notificaciones.
  3. Puedes recibir correos o integrarlo con Slack, Teams o Discord.

📧 4. Alertas por correo desde el servidor

Si usas un VPS, puedes configurar alertas automáticas con herramientas como:

  • Fail2ban: bloquea IPs tras intentos fallidos de login.
  • Logwatch o Logcheck: envían informes diarios de actividad sospechosa.
  • Monit: supervisa servicios y te avisa si alguno falla.

Consejo extra ante Ciberataque

Activa autenticación en dos pasos (2FA) con plugins como:

  • WP 2FA
  • Google Authenticator

RED.ES

WordPress y Seguridad

WordPress y Seguridad

🔐 WordPress y Seguridad en 2025: Informe actualizado  WordPress sigue siendo la plataforma líder en creación web, pero también uno de los principales objetivos de ciberataques. En 2025, la seguridad en WordPress ha evolucionado con nuevas medidas, herramientas y prácticas que buscan proteger millones de sitios en todo el mundo.

📊 Panorama actual de amenazas

  • Más de 8.000 nuevas vulnerabilidades fueron detectadas en el ecosistema WordPress durante 2024.
  • WordPress.com bloquea 12.000 ataques por segundo a nivel global, incluyendo tráfico malicioso y exploits.
  • En España, se registraron más de 15 millones de intentos de ataque en los últimos 12 meses.
  • Los plugins siguen siendo el principal vector de riesgo, especialmente aquellos desactualizados o mal mantenidos.

Medidas esenciales de seguridad

  • Actualizaciones constantes de WordPress, plugins y temas.
  • Autenticación reforzada: uso de contraseñas seguras y verificación en dos pasos (2FA).
  • Limitación de intentos de acceso para prevenir ataques de fuerza bruta.
  • Copias de seguridad automáticas y externas, preferiblemente en servicios cloud.
  • Hardening del servidor: desactivar funciones innecesarias, proteger archivos sensibles y usar HTTPS.

🔌 Plugins de seguridad recomendados en 2025

PluginFunciones clave
Wordfence SecurityCortafuegos, escaneo de malware, bloqueo de IP
iThemes Security Pro2FA, protección de login, detección de cambios
Sucuri Security CloudWAF, monitorización, respuesta ante incidentes
WP Activity LogRegistro detallado de actividad en el sitio

Sources: 

⚙️ Seguridad desde el diseño y hosting

  • Hosting seguro con SSL, protección DDoS y backups automáticos es clave.
  • Agencias como Zonsai integran seguridad desde el primer sprint de desarrollo.
  • La arquitectura web debe facilitar el rastreo, la indexación y la protección de datos.

Impacto en marketing y reputación

  • La seguridad no solo protege datos, también refuerza la confianza de los usuarios.
  • Un sitio comprometido puede afectar gravemente la imagen de marca y el SEO.

Conclusión

La seguridad en WordPress en 2025 ya no es opcional: es un requisito estratégico. La combinación de actualizaciones constantes, plugins confiables, buenas prácticas y un hosting robusto permite mantener los sitios protegidos frente a amenazas cada vez más sofisticadas.

Diferencias entre WordPress.com y WordPress.org

✅ WordPress.com es una plataforma alojada y gestionada por Automattic, mientras que WordPress.org es software libre que tú mismo instalas y gestionas en tu propio servidor. La diferencia clave está en el control, la personalización y los costes.

🆚 Comparativa WordPress.com vs WordPress.org

CaracterísticaWordPress.comWordPress.org
AlojamientoIncluido (Automattic lo gestiona)Lo gestionas tú en tu propio hosting
Coste inicialGratis (con limitaciones) o planes de pagoGratuito, pero necesitas pagar hosting y dominio
Control totalLimitadoCompleto: puedes modificar código, base de datos, etc.
PluginsSolo disponibles en planes de pagoPuedes instalar cualquier plugin
TemasLimitados en versión gratuitaPuedes instalar y editar cualquier tema
MonetizaciónRestringida (solo en planes premium)Libre: anuncios, afiliación, e-commerce
ActualizacionesAutomáticasTú decides cuándo y cómo actualizar
Seguridad y backupsIncluidos en planesTú los gestionas o contratas servicios externos
Ideal para…Blogs personales, sitios simplesEmpresas, tiendas online, proyectos avanzados

¿Cuál elegir?

WordPress.org es mejor si necesitas libertad total, personalización avanzada o monetización sin restricciones.

WordPress.com es ideal si no quieres preocuparte por mantenimiento técnico.

Vulnerabilidades de un sitio con WordPress.org

🔐 Las principales vulnerabilidades de un sitio WordPress.org en 2025 provienen de plugins inseguros, configuraciones débiles y falta de actualizaciones. Más de 8.000 nuevas brechas fueron detectadas en 2024, y muchas siguen activas en miles de sitios.

⚠️ Principales vulnerabilidades en WordPress.org

  • Plugins inseguros o desactualizados:
    • Más de 172 vulnerabilidades fueron detectadas en 142 plugins solo en abril de 2025.
    • Ejemplo crítico: el plugin Post SMTP permitía a atacantes cambiar contraseñas de administradores sin autenticación.
  • Temas vulnerables:
    • Algunos temas como Alone – Charity Multipurpose y Age Gate presentaron fallos de inclusión de archivos (LFI) y ejecución remota de código (RCE).
  • Cross-Site Scripting (XSS):
    • Permite a atacantes inyectar scripts maliciosos en formularios o comentarios.
  • Cross-Site Request Forgery (CSRF):
    • Manipula al usuario autenticado para realizar acciones no deseadas.
  • Inyección SQL:
    • Ataca la base de datos mediante formularios mal protegidos.
  • Carga de archivos maliciosos:
    • El plugin TI WooCommerce Wishlist permitía subir scripts peligrosos sin restricciones.
  • Fuerza bruta en el login:
    • Miles de intentos por segundo para adivinar contraseñas débiles.
  • Deserialización insegura y escalada de privilegios:
    • Plugins como GiveWP y OttoKit permitían a usuarios no autorizados obtener control total del sitio.

Cómo proteger tu WordPress.org

  • Actualiza WordPress, plugins y temas constantemente.
  • Elimina plugins que no uses y evita los que no se actualizan regularmente.
  • Instala plugins de seguridad como Wordfence, Sucuri o iThemes Security.
  • Activa autenticación en dos pasos (2FA) para todos los usuarios con acceso.
  • Usa un hosting seguro con cortafuegos, backups automáticos y protección DDoS.
  • Configura permisos de archivos correctamente (wp-config.php.htaccess, etc.).
  • Monitoriza actividad sospechosa con registros y alertas.

Datos clave en España

  • En 2025, se bloquearon más de 15 millones de intentos de ataque a sitios WordPress en España.
  • A nivel global, WordPress.com bloquea 12.000 solicitudes maliciosas por segundo.

Vulnerabilidades en un Sitio Web Personal con WordPress

El sitio WordPress.org asociado al dominio tusitio.es puede estar expuesto a vulnerabilidades comunes si no se aplican medidas de seguridad adecuadas. No se han detectado brechas públicas específicas en ese dominio, pero sí existen riesgos generales que deben ser gestionados.

⚠️ Vulnerabilidades comunes en sitios WordPress.org como tusitio.es

Según fuentes actualizadas en 2025, estas son las amenazas más frecuentes:

1. Plugins inseguros o desactualizados

  • El plugin TI WooCommerce Wishlist presentó una vulnerabilidad crítica (CVE-2025-47577) que permitía subir archivos maliciosos sin restricciones.
  • Muchos ataques se originan en extensiones mal mantenidas o abandonadas.

2. Temas vulnerables

  • Temas con código obsoleto pueden permitir ejecución remota de código o exposición de archivos sensibles.

3. Infecciones de malware

  • Scripts ocultos en archivos .php o .js pueden robar credenciales o redirigir tráfico.

4. Ataques de fuerza bruta

  • Bots automatizados intentan acceder al panel de administración usando contraseñas débiles.

5. Cross-Site Scripting (XSS)

  • Permite a atacantes inyectar código malicioso en formularios, comentarios o URLs.

6. Cross-Site Request Forgery (CSRF)

  • Manipula al usuario autenticado para realizar acciones no deseadas sin su consentimiento.

7. Inyección SQL

  • Formularios mal protegidos pueden permitir acceso directo a la base de datos.

8. Problemas de configuración

  • Permisos incorrectos en archivos como wp-config.php o falta de HTTPS pueden exponer el sitio.

Cómo proteger tusitio.es

  • Instala el plugin WPVulnerability para recibir alertas en tiempo real sobre riesgos en tu instalación.
  • Actualiza WordPress, plugins y temas regularmente.
  • Activa autenticación en dos pasos (2FA) para todos los usuarios con acceso.
  • Usa un firewall de aplicaciones web (WAF) como Wordfence o Sucuri.
  • Realiza escaneos periódicos con herramientas como MalCare o Virusdie.
  • Configura backups automáticos externos (por ejemplo, con UpdraftPlus).
  • Revisa los registros de actividad para detectar accesos sospechosos.

🧪 ¿Cómo comprobar si tusitio.es tiene vulnerabilidades?

Puedes hacer un análisis gratuito con herramientas como:

  • WPScan
  • Sucuri SiteCheck
  • SecurityHeaders.com

También puedes instalar el plugin WPVulnerability para recibir alertas directamente en el escritorio de WordPress