WordPress bajo la lupa: más de 900 sitios hackeados, PHP antiguo y extensiones que nunca se actualizan

📅 11/07/2026

Un reciente análisis de la firma de ciberseguridad Censys ha puesto sobre la mesa una realidad incómoda para millones de propietarios de sitios web. Aunque WordPress es el sistema de gestión de contenidos más popular del mundo —con más de 59 millones de instalaciones detectadas hasta junio de 2026—, la mayoría de esas páginas funcionan con componentes técnicos que llevan años sin recibir una sola actualización. El resultado es un ecosistema lleno de vulnerabilidades predecibles que los atacantes explotan de forma sistemática.

El talón de Aquiles: versiones desfasadas de PHP y WordPress

Según los datos recogidos por Censys, más del 70% de los sitios de WordPress que exponen públicamente información sobre su versión de PHP utilizan ediciones del lenguaje que ya no reciben parches de seguridad. La versión más habitual sigue siendo PHP 7.4, presente en más del 20% de los casos, a pesar de que su soporte finalizó en noviembre de 2022. Esto significa que millones de servidores ejecutan código que los desarrolladores de PHP ya no corrigen.

En paralelo, la actualización del propio gestor de contenidos también es deficiente: solo el 14% de los sitios accesibles públicamente emplean el último parche de seguridad de WordPress. Si se incluye la versión WordPress 6.9, que dejó de recibir soporte el 20 de marzo de 2026, la cifra sube al 31%. Es decir, más de dos tercios de las instalaciones están funcionando con versiones potencialmente inseguras.

«Para el dueño de un sitio, una versión antigua suele significar «si funciona, está bien». Pero para un atacante, ese mismo servidor se convierte en un blanco predecible con fallos documentados desde hace años», explican los investigadores de Censys.

Extensiones: el peligro silencioso que se instala y se olvida

Los complementos de WordPress representan un frente de riesgo aún más extenso. En junio de 2026, casi 7,5 millones de sitios mostraban públicamente al menos una extensión instalada. Incluso entre los usuarios de Yoast SEO, uno de los plugins más utilizados, menos del 22% trabajaba con la versión 27.7 (lanzada el 27 de mayo de 2026). Si se considera la versión anterior, la 27.6, el porcentaje sube al 40%, pero la mayoría sigue utilizando lanzamientos antiguos.

El problema se agrava porque las extensiones no son revisadas con la misma exigencia que el núcleo de WordPress. En complementos populares se han documentado numerosas vulnerabilidades a lo largo de los años: desde exposición de datos hasta ejecución remota de código, pasando por escalada de privilegios. Además, los atacantes pueden falsificar complementos conocidos, comprar proyectos abandonados o insertar puertas traseras en extensiones legítimas.

WordPress bajo la lupa: más de 900 sitios hackeados, PHP antiguo y extensiones que nunca se actualizan

Contenido original en https://www.securitylab.lat/news/574530.php

Derechos de autor
Si cree que algún contenido infringe derechos de autor o propiedad intelectual, contacte en [email protected].


Copyright notice
If you believe any content infringes copyright or intellectual property rights, please contact [email protected].