ExoScan WP

Seguridad WordPress: Guía Completa para Proteger tu Sitio en 2026

·7 min read
seguridad-wordpressvulnerabilidades-wordpresssecurizar-wordpress

¿Tu sitio WordPress es seguro? Lo que la mayoría de dueños de negocio no sabe

Tienes un sitio en WordPress. Funciona, se ve bien, los clientes lo visitan. Todo parece estar en orden. Pero debajo de la superficie, tu sitio podría estar exponiendo información que facilita ataques dirigidos — y lo más probable es que no lo sepas.

No es tu culpa. WordPress fue diseñado para ser abierto y extensible, y esa misma arquitectura que lo hace flexible también hace que ciertos datos técnicos queden visibles para cualquiera que sepa dónde buscar. La versión de WordPress que usas, los plugins instalados, la configuración de tus headers de seguridad — todo esto es accesible públicamente sin necesidad de entrar a tu panel de administración.

En este artículo te explico qué vulnerabilidades son las más comunes en sitios WordPress, cómo saber si tu sitio las tiene, y qué puedes hacer al respecto.

Por qué WordPress es el CMS más atacado del mundo

WordPress alimenta más del 40% de todos los sitios web del planeta. Esa popularidad lo convierte en el objetivo número uno para ataques automatizados. Los bots no eligen víctimas manualmente — escanean millones de sitios buscando vulnerabilidades conocidas en plugins y temas específicos.

El dato clave: según el reporte de Patchstack State of WordPress Security in 2026, en 2025 se descubrieron 11,334 nuevas vulnerabilidades en el ecosistema WordPress. Eso equivale a más de 31 vulnerabilidades nuevas cada día. Y el 91% de esas vulnerabilidades no estaban en WordPress mismo, sino en plugins de terceros.

Esto significa que aunque WordPress core se mantenga actualizado, la seguridad real de tu sitio depende de cada plugin que tengas instalado — incluyendo los que ya no usas pero nunca desinstalaste.

Las vulnerabilidades más comunes (y por qué pasan desapercibidas)

Plugins desactualizados con CVEs conocidos

Un CVE (Common Vulnerabilities and Exposures) es una vulnerabilidad documentada públicamente con un identificador único. Cuando un plugin tiene un CVE, significa que existe una debilidad conocida, catalogada, y en muchos casos con instrucciones públicas sobre cómo explotarla.

El problema: la mayoría de los dueños de sitios WordPress no saben qué plugins tienen instalados, mucho menos si alguno tiene un CVE activo. Un sitio promedio usa entre 20 y 30 plugins. Cada uno es un punto de entrada potencial si no se mantiene actualizado.

Versión de WordPress visible públicamente

Por defecto, WordPress expone su número de versión en el código fuente de tu sitio. Un atacante puede ver en segundos si usas una versión con vulnerabilidades conocidas. Es como dejar la marca y modelo de tu cerradura pegados en la puerta de entrada.

Headers de seguridad ausentes o mal configurados

Los headers HTTP de seguridad le dicen al navegador del visitante cómo comportarse al cargar tu sitio. Headers como X-Frame-Options, X-Content-Type-Options, Strict-Transport-Security y Content-Security-Policy protegen contra ataques comunes como clickjacking, MIME sniffing e inyección de contenido.

La realidad: la mayoría de los sitios WordPress no configuran estos headers. No es algo que WordPress haga por defecto, y la mayoría de los hosting compartidos tampoco lo implementan automáticamente.

Certificado SSL incompleto o mal configurado

Tener HTTPS no significa que tu certificado SSL esté bien configurado. Puede estar próximo a expirar, no cubrir todos los subdominios, o tener configuraciones débiles que herramientas de auditoría marcan como riesgo. Un certificado expirado no solo es un riesgo de seguridad — también hace que los navegadores muestren advertencias que ahuyentan a tus visitantes.

XML-RPC habilitado sin necesidad

XML-RPC es un protocolo que WordPress mantiene activo por defecto para permitir conexiones remotas (apps móviles, Jetpack, etc.). El problema es que también es un vector conocido para ataques de fuerza bruta y DDoS amplificado. Si no usas ninguna aplicación que lo requiera, tenerlo habilitado es un riesgo innecesario.

La ventana de explotación es más corta de lo que piensas

Un dato que cambia la perspectiva: la mediana de tiempo entre la publicación de una vulnerabilidad y su explotación activa es de solo 5 horas. Esto significa que desde que se hace público que un plugin tiene una falla, los bots automatizados ya están escaneando el internet buscando sitios que lo tengan instalado.

No se trata de si alguien va a intentar explotar una vulnerabilidad en tu sitio. Se trata de cuándo — y si vas a saberlo antes de que pase.

Cómo saber si tu sitio tiene vulnerabilidades

Aquí es donde la mayoría de los artículos te dicen "instala un plugin de seguridad". Pero hay un problema fundamental con ese enfoque: un plugin de seguridad instalado en tu sitio solo ve lo que tiene acceso desde adentro. No ve tu sitio como lo ve un atacante — desde afuera.

Un análisis de seguridad externo examina tu sitio exactamente como lo haría un atacante: sin acceso al panel, sin credenciales, sin instalar nada. Revisa qué información es visible públicamente, qué plugins y versiones son detectables, y cruza esos datos contra bases de datos de vulnerabilidades conocidas.

Verificación manual (lo que puedes hacer tú mismo)

Si prefieres revisar tu sitio manualmente, estos son los pasos básicos:

Verifica tu versión de WordPress

Abre el código fuente de tu sitio (clic derecho → "Ver código fuente" en tu navegador) y busca la etiqueta <meta name="generator". Si encuentras algo como WordPress 6.4.2, tu versión es visible públicamente. Compárala con la última versión disponible — si no coincide, estás desactualizado.

Revisa tus plugins instalados

Accede a tu panel de WordPress → Plugins → Plugins instalados. Revisa:

  • ¿Hay plugins que no reconoces o no usas? Desactívalos y elimínalos.
  • ¿Hay actualizaciones pendientes? Aplícalas. Cada actualización pendiente es potencialmente una vulnerabilidad conocida sin parchear.
  • ¿Algún plugin lleva más de un año sin actualizarse por su desarrollador? Ese plugin está abandonado y probablemente tiene vulnerabilidades que nadie va a corregir.

Verifica tu certificado SSL

Visita tu sitio y haz clic en el candado de la barra de direcciones de tu navegador. Verifica que el certificado sea válido, no esté próximo a expirar, y cubra tu dominio completo (incluyendo www si lo usas).

Comprueba tus headers de seguridad

Puedes usar herramientas gratuitas como SecurityHeaders.com para verificar qué headers de seguridad tiene tu sitio. Si el resultado es una calificación D o F, tu sitio no tiene los headers básicos configurados.

Verifica si XML-RPC está activo

Accede a tusitio.com/xmlrpc.php en tu navegador. Si ves un mensaje que dice "XML-RPC server accepts POST requests only", está activo. Si no lo necesitas, hay plugins simples que lo desactivan.

¿Y si encuentro vulnerabilidades?

Lo primero: no entres en pánico. Encontrar vulnerabilidades no significa que tu sitio haya sido hackeado — significa que identificaste puntos que necesitan atención. La mayoría se resuelven con acciones simples:

  • Plugin desactualizado: actualízalo desde tu panel de WordPress. Toma 2 clics.
  • Plugin abandonado: busca una alternativa mantenida activamente y migra.
  • Versión de WordPress visible: un plugin como Remove WP Version lo oculta en segundos.
  • Headers de seguridad faltantes: tu proveedor de hosting puede ayudarte a configurarlos, o puedes agregarlos vía .htaccess o plugin de seguridad.
  • SSL con problemas: contacta a tu proveedor de hosting. La mayoría ofrece certificados gratuitos con Let's Encrypt.
  • XML-RPC innecesario: desactívalo con un plugin como Disable XML-RPC-API.

Si el diagnóstico revela algo más complejo — como un plugin con un CVE crítico sin parche disponible — la acción correcta es desactivar ese plugin inmediatamente y buscar una alternativa.

La seguridad WordPress no es un evento, es un estado

La diferencia entre un sitio vulnerable y uno seguro no es instalar una herramienta mágica. Es saber qué tienes, qué riesgo representa, y actuar en consecuencia. La mayoría de los sitios hackeados no fueron víctimas de ataques sofisticados — fueron víctimas de vulnerabilidades conocidas que nadie revisó.

Si tu sitio WordPress es importante para tu negocio — si recibe clientes, procesa pagos, recopila datos de contacto — entonces saber su estado de seguridad no es opcional. Es parte de operar un negocio responsable.

El primer paso es siempre el mismo: saber dónde estás parado.

Recursos adicionales