"Mi web está en WordPress, ¿qué puede salir mal?" Esa es la frase que escucho antes de cada desastre.
WordPress es el sistema más usado del mundo — el 43% de todas las webs lo usan. Eso lo convierte también en el objetivo #1 de los hackers.
Los números que nadie te cuenta
| Año | Vulnerabilidades descubiertas | Crecimiento |
|---|---|---|
| 2022 | 4,528 | — |
| 2023 | 5,948 | +31% |
| 2024 | 7,966 | +34% |
| 2025 | 11,334 | +42% |
Fuente: Patchstack State of WordPress Security 2026.
Leíste bien: más de 11 mil fallas de seguridad descubiertas en un solo año. Eso es más de 30 por día.
¿De dónde vienen las vulnerabilidades?
Aquí está lo más importante: el problema no es WordPress en sí. El núcleo de WordPress solo tuvo 6 vulnerabilidades en 2025.
El verdadero problema son los plugins y temas:
- 91% de las vulnerabilidades vienen de plugins
- 9% vienen de temas
- Solo 0.1% del núcleo de WordPress
¿Qué significa esto? Cada plugin que instalas es una puerta que puede abrirse para un atacante. Y el sitio promedio de WordPress tiene entre 20 y 40 plugins instalados.
¿Qué tan rápido te pueden hackear?
Este dato es el más alarmante: cuando se descubre una vulnerabilidad en WordPress, los hackers la explotan en promedio en 5 horas.
No 5 días. No 5 semanas. 5 horas.
| Tiempo después de publicarse la falla | % de sitios atacados |
|---|---|
| 6 horas | 20% |
| 24 horas | 45% |
| 72 horas | 58% |
| 7 días | 70% |
Esto significa que si no actualizas tu WordPress constantemente, estás en riesgo permanente.
El mito de "solo instalo un plugin de seguridad"
Muchos piensan que con instalar Wordfence o un plugin de seguridad están protegidos. La realidad:
- Los firewalls tradicionales solo bloquean el 12% de los ataques específicos a WordPress
- El 43% de las vulnerabilidades se pueden explotar sin necesidad de contraseña — el atacante no necesita loguearse
- El 46% de las vulnerabilidades no tenían solución al momento de hacerse públicas
¿Cuánto cuesta un hackeo?
No hablamos solo de "arreglar la web". Hablamos de:
- Pérdida de clientes — tu web muestra contenido malicioso o redirige a sitios peligrosos
- Multas — si manejas datos personales, en Perú la Ley 29733 puede multarte hasta S/535,000
- Reputación — Google marca tu sitio como "peligroso" y pierdes posicionamiento
- Tiempo — limpiar un sitio hackeado toma días o semanas
El costo promedio de una brecha de seguridad a nivel mundial es de $4.88 millones de dólares (2024).
La alternativa: desarrollo a medida
Un sitio web desarrollado a medida (con tecnologías como Next.js, React, NestJS):
| Aspecto | WordPress | Desarrollo a medida |
|---|---|---|
| Velocidad de carga | 2-8 segundos | 0.3-1.5 segundos |
| Vulnerabilidades | 11,334/año | Solo tu código |
| Plugins externos | 20-40 promedio | Cero dependencias innecesarias |
| Actualizaciones | Semanales obligatorias | Solo cuando tú decides |
| Rendimiento Google | 50-70 en PageSpeed | 95-100 en PageSpeed |
| Costo a 3 años | Más caro (mantenimiento constante) | Más barato a largo plazo |
¿Cuándo SÍ tiene sentido WordPress?
Seamos honestos: WordPress no es malo para todo. Tiene sentido si:
- Necesitas lanzar en menos de 2 semanas
- Tu presupuesto es menor a S/1,500
- Solo necesitas un blog simple
- No manejas datos sensibles de clientes
Pero si tu negocio depende de tu web, si manejas datos de clientes, o si quieres una web rápida y segura a largo plazo — el desarrollo a medida es la mejor inversión.
¿Cómo saber si tu web es vulnerable?
Si tu web está en WordPress, hazte estas preguntas:
- ¿Cuántos plugins tienes instalados?
- ¿Cuándo fue la última vez que actualizaste todo?
- ¿Tienes backups automáticos?
- ¿Alguien monitorea tu sitio 24/7?
Si no puedes responder con confianza, tu web probablemente está en riesgo.
Escanea tu dominio gratis en 30 segundos: cybershield.fdevpe.com
Francisco Deza — FDev | Desarrollo Web & Ciberseguridad
Preguntas frecuentes
¿Cuál es el riesgo de seguir utilizando WordPress para mi negocio en Perú?
El riesgo es alto, ya que WordPress es el objetivo número uno de los hackers debido a su popularidad, con más de 11 mil fallas de seguridad descubiertas en 2025, lo que representa un aumento del 42% con respecto al año anterior. Esto significa que hay más de 30 vulnerabilidades por día que pueden ser explotadas por atacantes.
¿De dónde provienen la mayoría de las vulnerabilidades en WordPress?
La mayoría de las vulnerabilidades, un 91%, provienen de plugins, mientras que el 9% provienen de temas y solo el 0.1% del núcleo de WordPress. Esto significa que cada plugin que se instala puede ser una puerta de entrada para un atacante, y considerando que el sitio promedio de WordPress tiene entre 20 y 40 plugins instalados, el riesgo es significativo.
¿Cuánto tiempo tengo para actualizar mi sitio web de WordPress después de que se descubre una vulnerabilidad?
Después de que se descubre una vulnerabilidad en WordPress, los hackers la explotan en promedio en 5 horas, lo que significa que es crucial actualizar el sitio web lo antes posible. De hecho, el 20% de los sitios son atacados en las primeras 6 horas, el 45% en 24 horas y el 70% en una semana.
¿Qué puedo hacer para reducir el riesgo de seguridad en mi sitio web de WordPress?
Para reducir el riesgo de seguridad, es importante mantener actualizados el núcleo de WordPress, los plugins y los temas, así como limitar el número de plugins instalados y elegir solo aquellos que sean seguros y bien mantenidos. Además, es recomendable realizar auditorías de seguridad regulares y considerar la implementación de soluciones de seguridad adicionales, como firewalls y sistemas de detección de intrusiones.
