No es una vulnerabilidad nueva. Ni una brecha de un proveedor externo. El mayor riesgo en WordPress sigue estando en algo tan básico como no actualizar tus plugins. Sí, en pleno 2025.

En una entrevista reciente con CiberseguridadTIC, José Ramón Padrón, portavoz de Automattic y evangelista de la comunidad WordPress en español, lo deja claro: los problemas no están en el core, están en lo que dejamos abandonado. Plugins desactualizados, temas con código obsoleto, y, en el peor de los casos, extensiones pirateadas que vienen con “regalito” incluido (malware, puertas traseras, y acceso a tus datos).

🧨 El checklist del desastre

• Plugins desactualizados: Son responsables de la gran mayoría de vulnerabilidades. Las cifras no engañan: WordPress.com bloquea más de 480.000 peticiones maliciosas por minuto.
• Temas vulnerables: Estética sin seguridad es un combo explosivo. Muchas plantillas visualmente atractivas están plagadas de agujeros si no se mantienen.
• Plugins nulled (pirateados): No son un atajo económico, son una bomba de relojería. Vienen con código inyectado y backdoors listas para entregar tu sitio.
• Contraseñas flojas y sin 2FA: El clásico error humano. Si tu contraseña es “1234admin” y no tienes autenticación en dos pasos, estás invitando al caos.

🛡️ ¿Cómo blindar tu WordPress en 2025?

Sombra Radio te deja aquí un mini protocolo de defensa básica para WordPress, porque sí, todavía hay quien no lo aplica:

1. Actualiza siempre todo: Núcleo, plugins, temas. No hay excusa.
2. Instala solo desde fuentes confiables: Evita lo “gratis” de dudosa procedencia.
3. Implementa 2FA ya: Incluso si solo tú accedes.
4. Usa contraseñas aleatorias y únicas.
5. Haz copias de seguridad automáticas.
6. Instala un firewall (WAF) y monitorea actividad sospechosa.

🚨 Bonus track para desarrolladores paranoicos

Si desarrollas tus propios plugins o gestionas múltiples instalaciones, aquí un consejo sombrío pero sabio: no te fíes de nadie. Revisa el código, revisa las dependencias, revisa los logs. Y si puedes, automatiza las auditorías.

📡 En la era del software libre, la libertad también exige responsabilidad. Si WordPress es el 40% de la web, su seguridad es cosa de todos.

En Sombra Radio lo decimos claro: no es que WordPress sea inseguro. Es que no lo cuidamos.