Por qué la mayoría de los ataques a WordPress empiezan en plugins (y cómo reducir el riesgo)
La realidad: el core no suele ser el problema
Cuando un sitio sufre una intrusión, es común escuchar “me hackearon WordPress”. Pero los reportes de seguridad suelen apuntar a otra dirección: la mayoría de vulnerabilidades publicadas se concentran en plugins (y en menor medida en temas), no en el core.
En reportes recientes del ecosistema WordPress, la gran mayoría de vulnerabilidades nuevas se asocian a plugins.
¿Por qué pasa esto?
- Más código, más superficie de ataque: cada plugin agrega endpoints, formularios, dependencias y permisos.
- Calidad desigual: hay plugins excelentes… y otros con mantenimiento irregular o sin auditorías.
- Actualizaciones pendientes: en producción, muchas empresas posponen updates por miedo a “romper” el sitio.
Cómo reducir el riesgo sin complicarte
- Menos plugins, mejores plugins: elimina lo que no sea estrictamente necesario.
- Actualizaciones con rutina: agenda ventanas de mantenimiento (mensual o quincenal) y prueba cambios antes.
- Principio de mínimo privilegio: usuarios con permisos mínimos; evita administradores innecesarios.
- WAF y hardening básico: firewall a nivel aplicación, deshabilitar XML-RPC si no se usa, bloquear rutas sensibles y reforzar autenticación.
- Backups verificables: no basta con “tener backups”; hay que probar restauraciones.
La idea clave
Los sitios simples, con tecnologías confiables y menos piezas móviles, tienden a ser más fáciles de mantener, actualizar y proteger. Si tu negocio depende del sitio, una estrategia de “menos, pero mejor” suele ser la más rentable.
