El año pasado se publicaron más de 13.000 **vulnerabilidades de WordPress**, el doble que el año anterior. Los investigadores de seguridad detectaron fallos críticos en plugins utilizados por millones de sitios. Los operadores de ransomware atacan WordPress con frecuencia por su arquitectura predecible y la enorme superficie de ataque que ofrece el ecosistema de plugins; Patchstack y Sucuri publican informes trimestrales al respecto.
Si gestiona un sitio WordPress para su empresa, la superficie de ataque comienza en su página de inicio.
Por qué WordPress es un objetivo frecuente
WordPress impulsa aproximadamente el 40 % de todos los sitios web. Esa concentración lo convierte en un objetivo especialmente atractivo para los atacantes: un solo exploit puede automatizarse contra millones de sitios de forma simultánea.
Los plugins son el principal vector de ataque. Hay más de 60.000 plugins en el repositorio de WordPress. Un plugin popular con una vulnerabilidad sin parchear puede comprometer decenas de miles de sitios de la noche a la mañana.
Los temas conllevan riesgos similares. Los temas premium procedentes de mercados de dudosa reputación suelen contener puertas traseras o código vulnerable.
El núcleo de WordPress recibe parches de seguridad periódicos, pero las actualizaciones pueden romper el sitio. Por eso los propietarios las postergan. El 42 % de los sitios WordPress comprometidos ejecutaba una versión desactualizada en el momento del incidente.
El alojamiento compartido ubica su sitio en un servidor junto a cientos de otros. Cuando un sitio vecino es atacado, los intrusos pueden aprovechar esa posición para comprometer otros en el mismo servidor.
Cómo es realmente un ataque a WordPress
Inyección de spam SEO
Los atacantes inyectan miles de enlaces ocultos hacia sitios farmacéuticos, de apuestas o de contenido adulto en sus páginas. Su posicionamiento en Google cae en picado, sus clientes ven spam y Google pone su dominio en lista negra.
Redirecciones maliciosas
Los visitantes son redirigidos silenciosamente a sitios maliciosos. La redirección solo se activa ante ciertos patrones de tráfico, por lo que no resulta visible. El tráfico orgánico desaparece sin explicación aparente.
Páginas de phishing
Los atacantes crean páginas de inicio de sesión falsas bajo su dominio para robar credenciales a sus visitantes. Su sitio queda integrado en un incidente de seguridad activo.
Minería de criptomonedas
Código JavaScript malicioso se ejecuta en el navegador de sus visitantes y mina criptomonedas utilizando su CPU.
Ransomware
Poco frecuente en sitios pequeños, pero ocurre. Todo el sitio queda cifrado y se exige un pago para recuperarlo.
La recuperación ante cualquiera de estos ataques oscila entre 200 € y más de 2.000 €, más varios días de inactividad y el daño reputacional asociado.
La trampa de los plugins de seguridad
Para proteger WordPress se necesitan plugins de seguridad. El problema es que esos plugins también son plugins: amplían la superficie de ataque al mismo tiempo que intentan reducirla.
- Suscripciones anuales (100 € a 300 € al año por plugin)
- Actualizaciones frecuentes (que pueden romper otros plugins)
- Monitorización y configuración continuas
- Reglas de cortafuegos que a veces bloquean tráfico legítimo
La diferencia arquitectónica
Sin base de datos expuesta a internet. WordPress mantiene una base de datos (MySQL) con la que plugins y temas se comunican constantemente. Un sitio Next.js estático no tiene ninguna base de datos en la que inyectar código.
Sin ejecución de PHP. WordPress ejecuta PHP en cada petición. Next.js sirve archivos HTML pregenerados, lo que reduce considerablemente la superficie expuesta.
Sin equivalente al ecosistema de plugins de WordPress. Las dependencias son paquetes JavaScript (npm) gestionados de forma explícita por los desarrolladores, no un marketplace con más de 60.000 opciones de calidad dispar.
La plataforma de Vercel gestiona una parte de la seguridad. Protección DDoS, TLS y caché en el edge están a cargo del equipo de plataforma de Vercel. El código de aplicación, el manejo de datos y el contenido siguen siendo responsabilidad del cliente.
Sin panel de administración de WordPress. Los atacantes tienen especial predilección por `/wp-admin`: es una URL conocida y fácil de explotar por fuerza bruta. Un sitio Next.js no tiene ningún punto único de fallo equivalente.
Riesgo para el negocio
Los intentos de ataque automatizados forman parte de la realidad de operar un sitio WordPress con la cuota de mercado actual. La decisión empresarial es si seguir invirtiendo tiempo y dinero en defender una superficie de ataque amplia o migrar a una arquitectura con una superficie fundamentalmente menor.
webvise migra sitios WordPress a Next.js con presupuestos de alcance cerrado e implementación asistida por IA. Las migraciones suelen traducirse en mejor rendimiento, menores costes operativos y una superficie de ataque en el servidor considerablemente reducida.
Las prácticas de webvise están alineadas con las normas ISO 27001 e ISO 42001.