Plugins de WordPress Vulnerables: La Amenaza Silenciosa que Afecta al 96% de los Sitios
El problema no es WordPress, son los plugins
WordPress como plataforma es notablemente seguro. En 2025, solo se descubrieron 6 vulnerabilidades en el core — menos del 0.1% del total. El verdadero riesgo está en otro lugar: entre el 90% y el 96% de todas las vulnerabilidades de WordPress se originan en plugins y temas de terceros, según los reportes de Patchstack y Wordfence de 2025 y 2026.
Esto cambia por completo la pregunta. No se trata de si WordPress es seguro, sino de si los plugins que tienes instalados lo son.
La escala del problema en números
Las cifras de los últimos tres años muestran una tendencia que no se detiene:
En 2023 se descubrieron 5,948 vulnerabilidades en el ecosistema WordPress. En 2024 la cifra subió a más de 7,900. En 2025, el reporte de Patchstack documentó 11,334 nuevas vulnerabilidades — un incremento del 42% respecto al año anterior.
Pero el número de vulnerabilidades descubiertas es solo una parte del problema. Lo que las hace peligrosas es la velocidad con la que se explotan: la mediana de tiempo entre la publicación de una vulnerabilidad y su explotación masiva es de apenas 5 horas. El 45% de las vulnerabilidades más atacadas son explotadas dentro de las primeras 24 horas, y el 70% dentro de la primera semana.
Hay otro dato que agrava la situación: el 46% de las vulnerabilidades descubiertas en 2025 no tenían parche disponible del desarrollador al momento de ser publicadas. Esto significa que incluso si un dueño de sitio revisa sus plugins regularmente, casi la mitad de las veces no hay actualización que aplicar.
¿Qué hace que un plugin sea vulnerable?
No todos los plugins vulnerables son iguales. Los tipos de vulnerabilidad más comunes tienen nombres técnicos, pero su impacto es concreto:
Cross-Site Scripting (XSS) representa entre el 46% y el 53% de todas las vulnerabilidades de WordPress. Permite a un atacante inyectar código malicioso que se ejecuta en el navegador de los visitantes del sitio. En 2024, Wordfence bloqueó más de 9 mil millones de intentos de explotación de XSS.
SQL Injection es el segundo tipo más atacado, con más de 1,100 millones de intentos bloqueados en 2024. Permite acceder directamente a la base de datos del sitio — donde están los emails, contraseñas y datos de clientes.
Escalación de privilegios y bypass de autenticación permiten a un atacante sin credenciales obtener acceso de administrador. Entre el 43% y el 57% de las vulnerabilidades recientes no requieren ninguna autenticación para ser explotadas.
Plugins reales que pusieron millones de sitios en riesgo
Estos no son escenarios hipotéticos. Son plugins ampliamente usados que tuvieron vulnerabilidades críticas documentadas:
LiteSpeed Cache fue el plugin más atacado de 2024. Una vulnerabilidad de escalación de privilegios sin autenticación afectó a más de 6 millones de sitios. Cualquier atacante podía obtener acceso de administrador sin necesidad de credenciales.
Really Simple Security (antes Really Simple SSL) tuvo una vulnerabilidad de bypass de autenticación (CVE-2024-10924) que afectó a 4 millones de sitios. Un plugin diseñado para mejorar la seguridad terminó siendo la puerta de entrada.
Bricks Builder sufrió una vulnerabilidad de ejecución remota de código (CVE-2024-25600) que fue explotada masivamente a las pocas horas de publicarse. Los firewalls genéricos no pudieron bloquear los ataques porque no tenían visibilidad a nivel de aplicación WordPress.
En mayo de 2026, un caso de cadena de suministro afectó a WPFactory, un desarrollador que distribuye más de 65 plugins instalados en 170,000 sitios. Se descubrió un backdoor en la versión premium de uno de sus plugins que intentaba descargar archivos externos y modificar directorios del core. WordPress.org cerró temporalmente más de 80 plugins asociados al desarrollador.
Cómo saber si tu sitio tiene plugins vulnerables
Existen dos enfoques fundamentales para detectar plugins vulnerables en un sitio WordPress, y cada uno tiene limitaciones distintas.
Revisión manual desde el panel de WordPress
Si tienes acceso al panel de administración, puedes verificar las versiones de tus plugins en la sección de Plugins y compararlas contra las bases de datos públicas de vulnerabilidades. Las tres bases más completas son:
Patchstack mantiene un registro de 64,782 vulnerabilidades acumuladas y coordinó el 52.3% de todos los disclosures de 2024 — es la fuente más activa del ecosistema. WPScan (ahora propiedad de Automattic) cataloga más de 60,000 vulnerabilidades con detalles técnicos verificados manualmente. Wordfence Intelligence ofrece una API pública con más de 12,000 registros y coordinó el 39.39% de los disclosures de 2024.
El problema de este enfoque es que requiere tiempo, conocimiento técnico para interpretar las versiones afectadas, y repetirlo periódicamente. Con 31 nuevas vulnerabilidades descubiertas cada día en promedio, una revisión mensual deja ventanas de exposición de semanas.
Plugins de seguridad instalados
Herramientas como Wordfence, Patchstack y MalCare se instalan como plugins y monitorean el sitio desde adentro. Tienen visibilidad completa de las versiones instaladas y pueden cruzarlas contra sus bases de datos automáticamente.
Sin embargo, tienen una limitación documentada: el malware puede modificar o desactivar estos plugins una vez dentro del sitio. En un estudio de 2023, el malware logró alterar los archivos de Wordfence para mantenerse oculto en el 14% de las infecciones analizadas.
Escaneo externo
Un tercer enfoque es el escaneo desde afuera — sin acceso al panel ni instalación de nada en el sitio. Los escáneres externos pueden detectar versiones de WordPress, plugins y temas visibles en el código fuente de la página, rutas de archivos estándar y configuraciones expuestas.
Este enfoque tiene la ventaja de que no puede ser desactivado por malware y no requiere credenciales. Su limitación es que solo detecta lo que es visible públicamente — plugins que ocultan activamente su huella no serán identificados.
Lo que los firewalls no resuelven
Un dato que sorprende a muchos dueños de sitios: los firewalls genéricos (como los de Cloudflare o los WAF a nivel de servidor) solo bloquean el 12% de los ataques específicos a WordPress. La razón es que operan a nivel de red y no tienen visibilidad sobre qué plugins están instalados ni pueden monitorear sesiones autenticadas.
Esto no significa que los firewalls sean inútiles — protegen contra ataques de fuerza bruta y DDoS. Pero para vulnerabilidades específicas de plugins, no son una solución suficiente.
El costo real de no detectar a tiempo
Los números varían según el tamaño del negocio, pero las fuentes coinciden en la dirección: el impacto financiero es significativo incluso para sitios pequeños.
El reporte Verizon DBIR 2025 documenta que el rango realista de costo por incidente para PYMEs es de $120,000 a $1.24 millones de dólares. Para negocios más pequeños, un caso documentado de una tienda WooCommerce comprometida registró un costo total de $5,400 en 11 días de inactividad — $4,200 en ventas perdidas y $1,200 en limpieza de emergencia.
Más allá del costo directo, el dato que importa a largo plazo: el 19% de las PYMEs atacadas enfrentan bancarrota después de un ciberataque, según Verizon DBIR 2025. No es la mayoría, pero es una de cada cinco.
Una nota importante: la estadística frecuentemente citada de que "el 60% de las pequeñas empresas cierran dentro de 6 meses de un ciberataque" ha sido oficialmente desmentida por la National Cybersecurity Alliance. El dato real del 19% es suficientemente serio sin necesidad de exagerar.
Qué hacer si encuentras un plugin vulnerable
Si al revisar tu sitio descubres que tienes plugins con vulnerabilidades conocidas, hay un orden lógico de acciones:
Si existe actualización disponible, aplicarla inmediatamente. La mayoría de las vulnerabilidades se resuelven con una actualización del plugin — literalmente dos clics en el panel de WordPress.
Si no existe parche, evaluar si el plugin es crítico para el funcionamiento del sitio. Si no lo es, desactivarlo y buscar una alternativa. Si es esencial, considerar un servicio de virtual patching que bloquee la explotación de la vulnerabilidad específica mientras el desarrollador publica la corrección.
Si el sitio ya fue comprometido, no basta con actualizar. Se necesita una limpieza completa: revisar archivos modificados, verificar usuarios administradores no reconocidos, cambiar todas las contraseñas, y revisar la base de datos. En este escenario, un profesional de seguridad WordPress es la inversión más eficiente.
La regla operativa
La seguridad de un sitio WordPress no depende de una sola herramienta o acción. Depende de saber qué tienes instalado, qué versiones corren, y si alguna de ellas tiene vulnerabilidades conocidas. Con 31 vulnerabilidades nuevas cada día y una mediana de explotación de 5 horas, la revisión periódica no es opcional — es la diferencia entre detectar un problema y descubrirlo cuando ya es tarde.
Si prefieres no hacer esta revisión manualmente, ExoScan WP cruza tu sitio contra más de 36,000 vulnerabilidades conocidas y te entrega un reporte PDF en español con hallazgos y acciones recomendadas. Sin instalar nada, en menos de 10 minutos.
Fuentes citadas en este artículo: Patchstack, State of WordPress Security in 2026 · Wordfence, 2024 Annual WordPress Security Report · Wordfence Intelligence API · Melapress, WordPress Security Survey 2025 · Verizon, 2025 Data Breach Investigations Report · IBM, 2025 Cost of a Data Breach Report · National Vulnerability Database (NVD/NIST) · WPScan Vulnerability Database · National Cybersecurity Alliance