La seguridad de los plugins de WordPress es un desastre: 11.000+ vulnerabilidades en un año
Tabla de Contenidos
331 nuevas vulnerabilidades de plugins de WordPress en una sola semana. Eso no es un bug. Es un ecosistema entero en llamas.
Seguridad de WordPress en números: El desastre 2025-2026
| Indicador | Valor | Contexto |
|---|---|---|
| Nuevas vulnerabilidades (2025) | 11.334 | Aumento del 42% respecto a las 7.966 de 2024 |
| De plugins | 91% | El núcleo de WordPress solo tuvo 2 vulnerabilidades |
| Sin parche antes de la divulgación | 46% | Casi la mitad no tenía solución cuando los atacantes se enteraron |
| Explotadas en 24 horas | 45% | Los atacantes empiezan a escanear en las 4 horas siguientes a la divulgación |
| Peor semana (25 de marzo de 2026) | 331 | 275 plugins + 56 temas en 7 días |
| Peor plugin individual (CVSS 10.0) | Modular DS | Acceso admin sin autenticación — 40.000+ sitios |
| Cuota de mercado de WordPress | 43% | 605 millones de sitios web en riesgo |
| Sitios atacados cada | 32 minutos | Promedio en 2025 |
Fuentes: Patchstack State of WordPress Security 2026, SolidWP Weekly Reports (marzo 2026), datos de cuota de mercado de W3Techs.
WordPress alimenta el 43% de todos los sitios web en internet. Eso son aproximadamente 605 millones de sitios.
Su ecosistema de plugins se ha convertido en la mayor superficie de ataque de la web. Solo en 2025, Patchstack documentó 11.334 nuevas vulnerabilidades — un aumento del 42% respecto al año anterior. El 91% estaban en plugins. El núcleo de WordPress solo tuvo 2.
Este no es un problema que esté mejorando. Se está acelerando.
⚡ Veredicto en 30 segundos
- 11.334 nuevas vulnerabilidades de WordPress en 2025 — aumento del 42% respecto a 2024
- 91% de los plugins — el núcleo de WordPress está bien, el ecosistema es el problema
- 46% sin parche antes de la divulgación — los atacantes conocen la falla antes de que exista una solución
- 45% explotadas en 24 horas — tienes horas, no días, para reaccionar
- 331 nuevas vulnerabilidades en una sola semana (25 de marzo de 2026)
- Exploit CVSS 10.0 (Modular DS) daba acceso admin sin autenticación a cualquiera
- Ataques a la cadena de suministro ahora inyectan malware a través de actualizaciones legítimas de plugins
- Wordfence gratis retrasa las reglas de seguridad 30 días — estás desprotegido durante la ventana más crítica
- Mejor protección: Minimizar plugins, usar Cloudflare WAF (gratis), o abandonar WordPress por completo
Los números están empeorando
Crecimiento de vulnerabilidades (año tras año)
La línea de tendencia es aterradora:
- 2023: ~5.600 vulnerabilidades
- 2024: 7.966 vulnerabilidades (+42%)
- 2025: 11.334 vulnerabilidades (+42% otra vez)
Esto no es crecimiento lineal. Es exponencial. A este ritmo, 2026 verá 16.000+ nuevas vulnerabilidades en el ecosistema WordPress.
Marzo 2026: Un mes típico
SolidWP rastrea las vulnerabilidades semanales. Así se veía marzo de 2026:
- Semana del 4 de marzo: 281 vulnerabilidades (108 plugins, 173 temas) — 225 sin parche
- Semana del 11 de marzo: 209 vulnerabilidades (98 plugins, 111 temas) — 134 sin parche
- Semana del 18 de marzo: 159 vulnerabilidades (6 núcleo, 130 plugins, 23 temas) — 46 sin parche
- Semana del 25 de marzo: 331 vulnerabilidades (275 plugins, 56 temas) — 120 sin parche
Eso son 980 nuevas vulnerabilidades en un solo mes. Un promedio de 35 por día. Y entre el 15-80% de ellas no tenían parche en el momento de la divulgación.
Los peores infractores
Plugin Modular DS: CVSS 10.0 (La puntuación perfecta del fracaso)
En enero de 2026, investigadores de seguridad descubrieron CVE-2026-23550 en el plugin Modular DS — una vulnerabilidad con puntuación de 10.0 de 10.0 en la escala de severidad CVSS. Esa es la puntuación máxima posible. Significa:
- No se requiere autenticación — cualquiera puede explotarla
- No se necesita interacción del usuario — el atacante solo envía una petición
- Acceso admin completo — control total del sitio web
El ataque era simple: añadir ?origin=mo&type=xxx a una URL, y eres admin. Más de 40.000 sitios usaban este plugin.
Esto fue explotado activamente en la naturaleza antes de que la mayoría de los sitios pudieran actualizar.
WPvivid Backup & Migration: Ejecución remota de código en 900.000 sitios
CVE-2026-1357 afectaba a WPvivid, instalado en casi 900.000 sitios. CVSS 9.8. La vulnerabilidad permitía a atacantes no autenticados subir archivos arbitrarios y ejecutar código en el servidor — ejecución remota de código completa sin iniciar sesión.
¿La causa? Manejo incorrecto de errores de descifrado RSA combinado con una sanitización insuficiente de rutas. Un plugin de respaldo — algo que instalas para proteger tu sitio — se convirtió en el vector de su compromiso.
Plugin Ally: Inyección SQL en 400.000+ sitios
CVE-2026-2413 permitía inyección SQL a través de la propia ruta de la URL. Sin autenticación necesaria. Más de 400.000 instalaciones activas. El parche no llegó hasta el 23 de febrero de 2026 — semanas después de la divulgación.
El problema del 46%: Sin parche antes de la divulgación
Esto es lo que hace que la seguridad de los plugins de WordPress esté fundamentalmente rota: el 46% de las vulnerabilidades no tienen parche disponible cuando se divulgan públicamente.
Esto significa:
- Un investigador de seguridad encuentra una vulnerabilidad
- Contacta al desarrollador del plugin (divulgación responsable)
- El desarrollador no la arregla dentro de la ventana estándar de 90 días
- La vulnerabilidad se publica — ahora los atacantes lo saben
- No hay solución. Tu única opción es desactivar el plugin.
Mientras tanto, los atacantes se mueven rápido:
- El 20% de las vulnerabilidades se explotan dentro de las 6 horas de la divulgación
- El 45% dentro de 24 horas
- El 70% dentro de 7 días
Así que casi la mitad de todas las vulnerabilidades se divulgan sin parche, y los atacantes empiezan a explotar en cuestión de horas. Las matemáticas no juegan a tu favor.
Ataques a la cadena de suministro: La nueva pesadilla
En 2025-2026, la amenaza evolucionó. Los atacantes dejaron de simplemente explotar vulnerabilidades existentes — empezaron a comprometer los propios plugins.
Cómo funcionan los ataques a la cadena de suministro
- El atacante obtiene acceso a la cuenta de un desarrollador de plugins (o al repositorio fuente del plugin)
- Inyecta código malicioso en una actualización legítima del plugin
- La actualización se instala automáticamente en cada sitio que usa ese plugin
- El malware ahora se ejecuta en miles de sitios, distribuido a través del sistema oficial de actualizaciones de WordPress
Ejemplos reales
Gravity Forms (julio 2025): Uno de los plugins de formularios más populares de WordPress fue golpeado por un ataque a la cadena de suministro. Las descargas infectadas afectaron tanto a las instalaciones manuales como a los paquetes de Composer.
Campaña de malware de enero 2026: Wordfence descubrió malware disfrazado como “WP-antymalwary-bot.php” — deliberadamente mal escrito para parecer un plugin de seguridad. Se distribuyó a través de actualizaciones de plugins comprometidas.
La escala: Según Patchstack, más de 2 millones de sitios web recibieron actualizaciones comprometidas en un incidente importante de la cadena de suministro antes de ser detectado. El 92% de las brechas exitosas de WordPress en 2025 vinieron de plugins y temas — no del núcleo de WordPress.
Este es el problema fundamental: La fortaleza de WordPress (la extensibilidad) es también su debilidad fatal. Cada plugin es un punto de entrada potencial, y el sistema de actualizaciones que supuestamente te protege es ahora el vector de ataque.
Wordfence gratis: El agujero de seguridad de 30 días
Muchos usuarios de WordPress confían en Wordfence para su protección. La versión gratuita está instalada en millones de sitios.
Esto es lo que la mayoría de usuarios no sabe: Wordfence gratis retrasa las reglas del firewall y las firmas de malware 30 días en comparación con la versión premium.
Piensa en lo que eso significa dados los datos anteriores:
- El 45% de las vulnerabilidades se explotan dentro de 24 horas
- El 70% se explotan dentro de 7 días
- Wordfence gratis no te protege durante 30 días
Estás desprotegido durante toda la ventana crítica. Para cuando Wordfence gratis actualiza sus reglas, la vulnerabilidad lleva un mes siendo explotada activamente. La versión gratuita es esencialmente teatro de seguridad para amenazas activas.
Premium cuesta $119/año. Eso es por sitio. Si tienes 5 sitios WordPress, son $595/año solo por protección básica en tiempo real.
Lo que realmente te protege
1. Cloudflare WAF (Gratis)
El tier gratuito de Cloudflare incluye un Web Application Firewall que intercepta muchos exploits de WordPress en el borde de la red — antes de que lleguen a tu servidor. No es específico de WordPress, pero bloquea patrones de ataque comunes (inyección SQL, XSS, recorrido de directorios) que representan la mayoría de los exploits de plugins.
Es gratis. No hay razón para no usarlo.
2. Minimizar plugins (Reducción radical)
Cada plugin es una superficie de ataque. Las matemáticas son simples:
- 20 plugins = 20 puntos de entrada potenciales
- 5 plugins = 5 puntos de entrada potenciales
- 0 plugins = 0 puntos de entrada basados en plugins
Audita cada plugin. Pregúntate: “¿Hay alguna forma de hacer esto sin un plugin?” Para muchas funcionalidades (analíticas, formularios, SEO), la respuesta es sí — mediante código o servicios externos que no se ejecutan en tu servidor.
3. Generadores de sitios estáticos (La opción nuclear)
Un sitio estático no tiene código del lado del servidor ejecutándose. Sin base de datos. Sin plugins ejecutándose en el servidor. Sin WordPress. Sin superficie de ataque.
Si tu sitio es principalmente contenido (blog, documentación, sitio de marketing), un generador estático elimina toda la categoría de vulnerabilidades del lado del servidor. Escribí sobre esto en Cómo empezar un blog sin las porquerías de WordPress y Mejores alternativas a los blogs de WordPress.
El sitio que estás leyendo ahora mismo no funciona con WordPress. Es un sitio estático detrás de Cloudflare. Las vulnerabilidades de plugins ya no son mi problema.
La conclusión
WordPress en sí está bien. Dos vulnerabilidades del núcleo en 2025. El equipo de WordPress hace buen trabajo de seguridad.
El ecosistema de plugins está en llamas. 11.334 vulnerabilidades en un año. 331 en una sola semana. Un exploit CVSS 10.0 que da acceso admin a cualquiera. Ataques a la cadena de suministro inyectando malware a través de canales de actualización oficiales. El 46% de las vulnerabilidades sin parche antes de la divulgación. Los atacantes explotan en cuestión de horas.
605 millones de sitios web funcionan con WordPress. El ecosistema de plugins que alimenta la mayoría de ellos es fundamentalmente inseguro, y la trayectoria está empeorando — 42% más de vulnerabilidades año tras año, creciendo exponencialmente.
Cada plugin que instalas es una apuesta a que su desarrollador parcheará las vulnerabilidades más rápido de lo que los atacantes pueden explotarlas. Con el 46% de los desarrolladores que no parchean antes de la divulgación y atacantes que actúan en cuestión de horas, estás perdiendo esa apuesta casi la mitad de las veces.
Si necesitas WordPress para e-commerce, sitios de membresía o aplicaciones web complejas — minimiza plugins, usa Cloudflare WAF, invierte en Wordfence Premium, y monitorea los informes semanales de SolidWP.
Si no necesitas WordPress — si tienes un blog, un portafolio o un sitio de marketing — deja de usarlo. Hay alternativas más rápidas y seguras que eliminan el problema por completo.
No me creas — Verifica todo
- Patchstack: State of WordPress Security 2026 (informe completo)
- SolidWP: WordPress Vulnerability Report — 25 de marzo de 2026
- CVE-2026-23550: Modular DS CVSS 10.0 (The Hacker News)
- CVE-2026-1357: WPvivid RCE en 900K sitios (BleepingComputer)
- CVE-2026-2413: Ally inyección SQL, 400K+ sitios (SecurityWeek)
- Ataque cadena de suministro Gravity Forms (Patchstack)
- Wordfence gratis vs Premium (retraso de 30 días)
- Cuota de mercado de WordPress (W3Techs)
Divulgación completa: Gano $0 con cada producto mencionado en este artículo. Sin relaciones de afiliación con WordPress, Cloudflare, Wordfence o cualquier alternativa a WordPress. Este artículo existe porque 605 millones de sitios web merecen saber lo que está pasando en el ecosistema del que dependen.
NO confíes en los sitios de reseñas. Las comisiones de afiliados dictan sus clasificaciones. Este también es un sitio de afiliados, pero soy honesto sobre lo que gano y clasifico por calidad en lugar de por pago. Incluso si eso significa que me paguen $0. Lee sobre mi enfoque y por qué dejé de mentir. Aquí están los datos en bruto para que puedas verificar todo.