Está ese plugin que instalaste un martes por la noche a las 11 porque el formulario de contacto había dejado de funcionar y el cliente estaba esperando. Hiciste clic en instalar, funcionó, y pasaste a otra cosa. Eso fue en 2023.
Sigue ejecutándose. No se ha actualizado en 14 meses. Y en algún lugar de internet, un escáner automatizado ya lo ha detectado.
Nadie te está atacando. Eso es lo peor.
Eso es lo primero que hay que entender: no eres víctima de un hacker con sudadera que decidió atacar el sitio de tu fontanero o tu blog de recetas. Eres víctima de un bot que funciona 24 horas al día, escaneando millones de sitios, buscando versiones conocidas de plugins vulnerables.
Está documentado. WPScan mantiene una base de datos pública de vulnerabilidades de WordPress. En el momento de escribir estas líneas, recoge miles de fallos documentados en plugins, temas y versiones del core. La mayoría tienen un parche disponible. La mayoría de los sitios afectados no lo han aplicado.
El informe anual de Sucuri sobre sitios comprometidos es aún más directo: año tras año, los CMS mal mantenidos representan la gran mayoría de las infecciones tratadas. WordPress encabeza la lista, no porque sea intrínsecamente menos seguro, sino porque está en todas partes y sus instalaciones envejecen mal.
Los sospechosos habituales
Ciertos plugins aparecen sistemáticamente en los informes de compromiso. No necesariamente los más oscuros. A menudo los más utilizados, precisamente porque su enorme base de instalaciones los convierte en objetivos rentables para los atacantes.
Los form builders como Contact Form 7 o WPForms, los page builders abandonados por sus desarrolladores, los sliders que estaban de moda en 2017, los plugins SEO de una época pasada. Y sobre todo: los plugins premium comprados una vez, activados, y cuya licencia venció sin que nadie renovara las actualizaciones.
Patchstack publica cada año un whitepaper sobre el estado de la seguridad en WordPress. Su conclusión de 2024 es contundente: el 97% de las vulnerabilidades documentadas afectan a plugins y temas de terceros, no al core de WordPress. En otras palabras, WordPress no es el problema. Lo que metes dentro, sí.
Lo que realmente cuesta
Un sitio comprometido no es necesariamente una página de inicio reemplazada por un mensaje en cirílico. A menudo es invisible. Una redirección silenciosa hacia un sitio de phishing para los visitantes móviles. Spam SEO inyectado en tus páginas para hacer link building fraudulento. Un script de minería de criptomonedas que ralentiza tu sitio sin que entiendas por qué.
Google acaba detectándolo. Tu sitio acaba en la lista negra. Google Safe Browsing muestra una advertencia roja antes de que los visitantes lleguen siquiera a tu página. Tu SEO recibe un golpe del que tardará meses en recuperarse.
Qué hacer concretamente
Primero, el inventario. Entra en tu back-office y mira honestamente la lista de tus plugins. ¿Cuántos están activos? ¿Cuántos están desactivados pero siguen instalados? Un plugin desactivado sigue siendo un vector de ataque si su código está en el servidor.
Luego, las actualizaciones automáticas. WordPress permite desde la versión 5.5 activar las actualizaciones automáticas por plugin. No es perfecto, puede romper una compatibilidad, pero es infinitamente mejor que 14 meses sin parche. Para los sitios críticos, WP-CLI te permite automatizar las actualizaciones desde la línea de comandos e integrarlas en un proceso de despliegue limpio.
Para auditar tu instalación, WPScan en su versión gratuita ya te da una visión clara de las vulnerabilidades conocidas en tu sitio. Wordfence como plugin de seguridad sigue siendo una referencia accesible, con un escáner integrado y alertas en tiempo real.
Por último, las copias de seguridad. No en el mismo servidor. No una vez al mes. Una copia de seguridad diaria externalizada es lo que marca la diferencia entre restaurar en 20 minutos y reconstruir el sitio desde cero.
La seguridad es un hábito, no un proyecto
El problema con la seguridad es que se parece a un seguro. Invisible cuando funciona, catastrófico cuando no. Nadie actualiza sus plugins un martes por la noche cuando todo va bien. Todo el mundo lo lamenta el miércoles por la mañana cuando el sitio muestra una página en blanco.
Quince minutos a la semana. Un vistazo al panel de WordPress, las actualizaciones pendientes, las alertas de seguridad. Es todo lo que hace falta para no acabar en las estadísticas de Sucuri del año que viene.
Tu plugin de 2023 te está mirando. Solo está esperando que te distraigas.