"Mi web está en WordPress, ¿qué puede salir mal?" Esa es la frase que escucho antes de cada desastre.
WordPress es el sistema más usado del mundo — el 43% de todas las webs lo usan. Eso lo convierte también en el objetivo #1 de los hackers.
Los números que nadie te cuenta
| Año | Vulnerabilidades descubiertas | Crecimiento |
|---|---|---|
| 2022 | 4,528 | — |
| 2023 | 5,948 | +31% |
| 2024 | 7,966 | +34% |
| 2025 | 11,334 | +42% |
Fuente: Patchstack State of WordPress Security 2026.
Leíste bien: más de 11 mil fallas de seguridad descubiertas en un solo año. Eso es más de 30 por día.
¿De dónde vienen las vulnerabilidades?
Aquí está lo más importante: el problema no es WordPress en sí. El núcleo de WordPress solo tuvo 6 vulnerabilidades en 2025.
El verdadero problema son los plugins y temas:
- 91% de las vulnerabilidades vienen de plugins
- 9% vienen de temas
- Solo 0.1% del núcleo de WordPress
¿Qué significa esto? Cada plugin que instalas es una puerta que puede abrirse para un atacante. Y el sitio promedio de WordPress tiene entre 20 y 40 plugins instalados.
¿Qué tan rápido te pueden hackear?
Este dato es el más alarmante: cuando se descubre una vulnerabilidad en WordPress, los hackers la explotan en promedio en 5 horas.
No 5 días. No 5 semanas. 5 horas.
| Tiempo después de publicarse la falla | % de sitios atacados |
|---|---|
| 6 horas | 20% |
| 24 horas | 45% |
| 72 horas | 58% |
| 7 días | 70% |
Esto significa que si no actualizas tu WordPress constantemente, estás en riesgo permanente.
El mito de "solo instalo un plugin de seguridad"
Muchos piensan que con instalar Wordfence o un plugin de seguridad están protegidos. La realidad:
- Los firewalls tradicionales solo bloquean el 12% de los ataques específicos a WordPress
- El 43% de las vulnerabilidades se pueden explotar sin necesidad de contraseña — el atacante no necesita loguearse
- El 46% de las vulnerabilidades no tenían solución al momento de hacerse públicas
¿Cuánto cuesta un hackeo?
No hablamos solo de "arreglar la web". Hablamos de:
- Pérdida de clientes — tu web muestra contenido malicioso o redirige a sitios peligrosos
- Multas — si manejas datos personales, en Perú la Ley 29733 puede multarte hasta S/535,000
- Reputación — Google marca tu sitio como "peligroso" y pierdes posicionamiento
- Tiempo — limpiar un sitio hackeado toma días o semanas
El costo promedio de una brecha de seguridad a nivel mundial es de $4.88 millones de dólares (2024).
La alternativa: desarrollo a medida
Un sitio web desarrollado a medida (con tecnologías como Next.js, React, NestJS):
| Aspecto | WordPress | Desarrollo a medida |
|---|---|---|
| Velocidad de carga | 2-8 segundos | 0.3-1.5 segundos |
| Vulnerabilidades | 11,334/año | Solo tu código |
| Plugins externos | 20-40 promedio | Cero dependencias innecesarias |
| Actualizaciones | Semanales obligatorias | Solo cuando tú decides |
| Rendimiento Google | 50-70 en PageSpeed | 95-100 en PageSpeed |
| Costo a 3 años | Más caro (mantenimiento constante) | Más barato a largo plazo |
¿Cuándo SÍ tiene sentido WordPress?
Seamos honestos: WordPress no es malo para todo. Tiene sentido si:
- Necesitas lanzar en menos de 2 semanas
- Tu presupuesto es menor a S/1,500
- Solo necesitas un blog simple
- No manejas datos sensibles de clientes
Pero si tu negocio depende de tu web, si manejas datos de clientes, o si quieres una web rápida y segura a largo plazo — el desarrollo a medida es la mejor inversión.
¿Cómo saber si tu web es vulnerable?
Si tu web está en WordPress, hazte estas preguntas:
- ¿Cuántos plugins tienes instalados?
- ¿Cuándo fue la última vez que actualizaste todo?
- ¿Tienes backups automáticos?
- ¿Alguien monitorea tu sitio 24/7?
Si no puedes responder con confianza, tu web probablemente está en riesgo.
Escanea tu dominio gratis en 30 segundos: cybershield.fdevpe.com
Francisco Deza — FDev | Desarrollo Web & Ciberseguridad
