WordPress alimenta casi la mitad de la web, lo que lo convierte en la plataforma más dirigida de internet. En 2025, el panorama de amenazas cambió de manera que la mayoría de las estrategias de seguridad convencionales resultaron insuficientes. El número de vulnerabilidades aumentó drásticamente, los plazos de explotación se redujeron a horas y los atacantes desplegaron malware cada vez más sofisticado diseñado para sobrevivir a los intentos de limpieza.
Esta visión general se basa en datos de seguridad de 2025 para ayudar a los propietarios de sitios WordPress y WooCommerce a comprender los riesgos reales que enfrentan sus sitios y las medidas prácticas que pueden tomar para cerrar esas lagunas.
Investigadores de seguridad identificaron 11.334 nuevas vulnerabilidades en todo el ecosistema de WordPress en 2025, un aumento del 42% respecto al año anterior. De estas, 4.124 eran lo suficientemente graves como para requerir una mitigación activa, y 1.966 tenían una alta gravedad, lo que indica una fuerte probabilidad de explotación automatizada a gran escala.
Para ponerlo en perspectiva, en 2025 se descubrieron más vulnerabilidades de alta gravedad en WordPress que en los dos años anteriores juntos. Esto no es una tendencia gradual. Representa una aceleración significativa en la atención de los atacantes hacia el ecosistema WordPress.
Los plugins representaban el 91% de todas las vulnerabilidades recién reportadas. Los temas constituían el 9% restante. El propio núcleo de WordPress solo reportó seis problemas, todos de baja prioridad.
Esa distribución refuerza una realidad sencilla: el software central no es el problema. El riesgo reside en los componentes de terceros que se superponen, y la mayoría de los sitios WordPress ejecutan docenas de ellos.
No. Los componentes premium suelen presentar un punto ciego más peligroso que sus equivalentes gratuitos.
Los investigadores de seguridad realizaron un análisis enfocado de los componentes premium del marketplace, incluidos los distribuidos a través de Envato. Los hallazgos fueron significativos:
La razón no es que los plugins premium se construyan de forma más descuidada. Esto se debe a que los investigadores de seguridad tienen acceso limitado al software de pago, por lo que menos personas revisan el código. Menor escrutinio no significa menor riesgo. Significa una menor conciencia del riesgo existente.
Solo el 54%. En 2025, el 46% de las vulnerabilidades reportadas no fueron corregidas por el desarrollador del plugin antes de la divulgación pública. Eso significa que los detalles de vulnerabilidades se hicieron públicos y, en muchos casos, estuvieron disponibles inmediatamente para los atacantes antes de que los parches estuvieran disponibles para los propietarios del sitio.
Depender de las actualizaciones de plugins como medida de seguridad principal suele ser insuficiente, ya que casi la mitad de las vulnerabilidades reveladas no disponen de parche.
Más rápido de lo que permiten la mayoría de los calendarios de actualizaciones. Para las vulnerabilidades más atacadas, el tiempo mediano ponderado desde la divulgación pública hasta la explotación activa fue de cinco horas.
Aproximadamente la mitad de todas las vulnerabilidades de alto impacto estaban siendo explotadas en las 24 horas siguientes a la divulgación. Esta ventana cubre un periodo en el que la mayoría de los administradores del sitio desconocen el problema o aún no han tenido la oportunidad de aplicar un parche disponible.
Las primeras 24 horas tras una divulgación de vulnerabilidad suelen representar la ventana de mayor riesgo para un sitio WordPress. Sin una mitigación automatizada, la mayoría de los sitios quedan expuestos precisamente durante este periodo.
El Control de Acceso Fallido encabezó la lista de categorías de vulnerabilidades explotadas en 2025. Esta categoría es especialmente difícil de defender porque los ataques imitan el comportamiento normal de los usuarios autenticados. No hay cadenas de inyección evidentes ni solicitudes mal formadas que un cortafuegos de aplicación web tradicional pueda detectar.
Otras clases de vulnerabilidades muy explotadas incluían:
Los plugins relacionados con WooCommerce aparecieron entre los diez más objetivos, incluyendo una vulnerabilidad de escalada de privilegios de WooCommerce Payments de 2023 que seguía siendo activamente atacada contra instalaciones sin parchear.
No es lo suficientemente eficaz. Las pruebas de penetración realizadas en varios proveedores de hosting en 2025 encontraron que configuraciones defensivas estándar, incluyendo WAFs internos y Cloudflare, bloquearon solo el 26% de los intentos de explotación de vulnerabilidades de WordPress. Específicamente, contra vulnerabilidades explotadas conocidas, la tasa de bloqueo bajó al 12%.
El rendimiento variaba significativamente entre entornos anfitriones, en gran parte debido a la configuración de las reglas internas WAF. Las reglas WAF genéricas funcionan razonablemente bien contra ataques no específicos de WordPress, pero están mal adaptadas a las clases de vulnerabilidades específicas de WordPress, que representan la mayor parte de la actividad real de explotación.
El comportamiento posterior al compromiso en 2025 se volvió más sofisticado y difícil de remediar. El análisis de miles de millones de infecciones de malware en toda la infraestructura global de alojamiento reveló cambios claros en la forma en que operan los atacantes una vez que acceden a un sitio.
Los atacantes prefieren cada vez más los archivos inyectados frente a los archivos maliciosos independientes. Un archivo inyectado es un archivo núcleo legítimo de WordPress, un archivo de plugin o un archivo de tema que ha sido modificado para contener código malicioso. Como el archivo base es legítimo, las herramientas de escaneo basadas en eliminación lo marcan de forma inconsistente o lo pasan por alto por completo.
Eliminar malware inyectado requiere identificar y limpiar quirúrgicamente el fragmento malicioso de un archivo que de otro modo es válido. Eliminar el archivo en sí rompe el sitio. Esta distinción está forzando un cambio significativo en la forma en que deben operar las herramientas de remediación.
Sí. La actividad maliciosa de subida de archivos casi se triplicó en noviembre y diciembre de 2025. Este aumento no es casualidad. El cuarto trimestre combina el pico de tráfico de consumidores con una reducción de personal de TI, creando un entorno donde los atacantes pueden operar con menos probabilidad de detección o respuesta inmediata. Los propietarios de tiendas WooCommerce que realizan promociones festivas activas están operando en el periodo de mayor riesgo del año, a menudo con los menos recursos internos disponibles para responder.
Las campañas de malware más comunes compartían un objetivo común de diseño: evitar la detección durante el mayor tiempo posible. Tres patrones de evasión fueron especialmente extendidos.
Entrega selectiva de contenido
Las campañas, incluyendo spam SEO japonés, jgalls y Parrot TDS, ofrecen contenido diferente según quién haga la solicitud. Los rastreadores de motores de búsqueda reciben spam lleno de palabras clave para manipular el ranking. Los visitantes humanos son redirigidos a páginas de phishing o tiendas fraudulentas. Los propietarios de sitios y los escáneres suelen ver contenido limpio. La infección permanece invisible hasta que los clientes empiezan a quejarse o el tráfico orgánico de búsqueda se desploma.
Parrot TDS amplió esta técnica aún más en 2025 al detectar rastreadores de entrenamiento de IA, incluidos los de OpenAI y Google. El contenido limpio se sirve a los rastreadores mientras que las redirecciones maliciosas continúan redirigiendo a los visitantes humanos, haciendo que la detección mediante auditorías automáticas sea aún menos fiable.
Persistencia de la memoria y residente
La familia de malware Lock360 ejecuta código malicioso directamente en la memoria del servidor en lugar de almacenarlo en archivos. Cuando un administrador limpia un archivo infectado, como index.php o .htaccess, el proceso residente en memoria reescribe inmediatamente el código malicioso en él. Los equipos de soporte a menudo se encuentran en un ciclo continuo de limpieza y reinfección hasta que se termina el proceso de memoria subyacente, algo que la mayoría de las herramientas de escaneo estándar no están preparadas para manejar.
Expansión de la infraestructura de Uploaders
La actividad de guiones de los uploaders casi se duplicó en volumen durante junio de 2025 y se mantuvo elevada hasta finales de año. Los uploaders son herramientas que permiten a los atacantes desplegar cargas útiles adicionales a un sitio comprometido a voluntad. Su aumento sostenido señala un cambio estratégico hacia un acceso persistente en lugar de una explotación puntual. Un sitio limpio de una infección puede ser reinfectado mediante un uploader inactivo que haya sobrevivido a la limpieza.
Varias tendencias convergen para hacer Seguridad de WordPress más complejo, no menos.
El desarrollo asistido por IA está acelerando la producción de plugins personalizados. Las agencias generan funcionalidad de plugins bajo demanda y despliegan interfaces generadas por IA construidas con React mientras utilizan WordPress como CMS backend. Esto amplía la superficie de ataque mucho más allá del alcance tradicional de núcleos, plugins y temas. Componentes codificados a medida, paquetes JavaScript y dependencias de PHP introducen una exposición a la seguridad que las herramientas estándar de escaneo de WordPress no están diseñadas para evaluar.
Al mismo tiempo, la IA está reduciendo la barrera para que los atacantes descubran y exploten vulnerabilidades de forma autónoma. Las mismas herramientas que se usan para construir sitios más rápido también se emplean para encontrar y explotar debilidades en ellos.
En el ámbito regulatorio, la Ley de Ciberresiliencia de la UE está presionando a los proveedores comerciales de plugins de WordPress para que establezcan programas formales de divulgación de vulnerabilidades como requisito legal para distribuir software a usuarios europeos. La mayoría de los desarrolladores de plugins actualmente no disponen de los recursos internos para gestionar grandes volúmenes de informes de seguridad entrantes. Esta brecha generará fricción entre la identificación de vulnerabilidades y la disponibilidad de parches, un periodo que ya conlleva un riesgo significativo según los datos de explotación de 2025.
Los datos de 2025 dejan varias cosas claras a cualquiera que gestione una tienda WooCommerce.
Los fundamentos de la seguridad de WordPress no han cambiado: mantener el software actualizado, limitar la proliferación de plugins y usar credenciales sólidas. Lo que ha cambiado es que estas medidas ya no son suficientes por sí solas.
Los plazos de explotación se han reducido a horas. El malware está diseñado para sobrevivir a la limpieza estándar. Los plugins premium conllevan riesgos ocultos. Y la superficie de ataque de un sitio típico de WordPress se está expandiendo a medida que los componentes generados por IA entran en la pila.
La seguridad efectiva de WordPress en 2026 requiere una mitigación automatizada de vulnerabilidades que se active en las primeras horas tras la divulgación, detección de malware a nivel de servidor capaz de identificar código inyectado y amenazas residentes en memoria, y una visibilidad clara de cada componente que se ejecuta en el sitio, ya sea instalado desde el panel de administración o generado mediante desarrollo personalizado.
Los sitios que tratan la seguridad como un proceso proactivo y continuo estarán significativamente mejor posicionados que aquellos que dependen de limpiezas periódicas tras algo que sale mal.
