Febrero de 2017. Cientos de miles de sitios WordPress en el mundo se despiertan con los contenidos reemplazados.
Mensajes políticos, consignas en árabe, páginas de empresas italianas transformadas en manifiestos. No habían sido hackeados uno por uno — fue un ataque automatizado que explotaba una única vulnerabilidad en la API de WordPress. Quien no había actualizado a la versión 4.7.2 estaba expuesto. Y la mayoría de los sitios no había actualizado.
Nueve años después, el guión es el mismo. Cambia el vector, no el problema.
El CMS que nadie conoce pero todos usan
WordPress alimenta más del 43% de los sitios web mundiales. Es la opción predeterminada para quien quiere un sitio sin saber programar, para las PYMES que quieren gestionar los contenidos por sí solas, para quien tiene un presupuesto limitado y quiere algo que funcione.
El problema es que esta facilidad tiene un precio. WordPress es el objetivo número uno de los ciberdelincuentes — no porque esté mal escrito, sino porque está en todas partes. Un exploit que funciona en el 43% de la web es una inversión rentable.
En Italia en 2025 se verificaron más de 116.000 ataques informáticos — uno cada cinco minutos, con una frecuencia del 17% superior a la media global. Y los ransomware aumentaron un 48% respecto al año anterior. No son números abstractos: son sitios bloqueados, datos exfiltrados, empresas paralizadas.
Cómo funciona un ataque en WordPress
No necesitas un hacker genial. Necesitas un script y una lista de sitios WordPress sin actualizar.
Los ataques más comunes siguen siempre la misma lógica: escaneo automático de miles de dominios → identificación de la versión de WordPress y plugins instalados → explotación de la vulnerabilidad conocida → acceso, defacement o instalación de malware.
La REST API — la herramienta que permite a WordPress comunicarse con aplicaciones externas a través de solicitudes GET y POST — ha sido uno de los vectores principales. En 2017 el bug estaba en la autenticación: bastaba una solicitud mal formada para modificar cualquier página del sitio sin credenciales. Hoy esa vulnerabilidad específica está corregida, pero el principio sigue siendo válido: cada endpoint expuesto que no sirve es una puerta abierta.
El verdadero problema no es WordPress. Eres tú que no actualizas.
El 90% de los WordPress comprometidos que he visto tenía al menos uno de estos tres problemas:
Plugins sin actualizar. Los plugins de terceros son el vector más común. Un desarrollador abandona el plugin, deja de lanzar actualizaciones, y la vulnerabilidad permanece ahí — en miles de instalaciones — hasta que alguien la encuentra y la explota. Regla práctica: si un plugin no se ha actualizado en más de seis meses, busca uno alternativo que se mantenga.
Credenciales débiles. El usuario "admin" todavía existe en millones de instalaciones de WordPress. La combinación admin/admin123 o admin/nomedelaempresa es lo primero que prueban los scripts automatizados. Cambia el usuario, usa una contraseña larga, activa la autenticación de dos factores.
WordPress core sin actualizar. Los parches de seguridad se lanzan por una razón. Cada versión sin actualizar es una vulnerabilidad conocida, documentada, con exploits públicos disponibles. No actualizar por miedo a romper algo es comprensible — pero es una opción riesgosa que debe gestionarse, no ignorarse.
Cinco cosas que hacer ahora
1. Actualiza todo. Core, plugins, temas. Ahora. Si tienes miedo de romper algo, haz primero una copia de seguridad — pero actualiza.
2. Desactiva la REST API para usuarios no autenticados. Si no usas aplicaciones externas que la requieran, no es necesario que sea accesible para cualquiera. Se desactiva con un plugin o con unas pocas líneas en functions.php.
3. Elimina los plugins que no usas. Cada plugin instalado — aunque esté desactivado — es código en el servidor. Si no lo necesitas, bórralo.
4. Cambia la URL de inicio de sesión. La dirección predeterminada /wp-admin es la que todos los scripts de fuerza bruta buscan primero. Moverla a una ruta personalizada reduce drásticamente el ruido.
5. Instala un plugin de seguridad. Wordfence o iThemes Security en la versión gratuita ya hacen mucho: firewall, monitoreo de intentos de inicio de sesión, alertas sobre archivos modificados.
Si gestiones un WordPress para tu empresa
No necesitas convertirte en un experto en seguridad. Necesitas a alguien que mantenga el sitio actualizado y te avise si algo no va bien. Un sitio comprometido no es solo un daño de imagen — es datos de clientes en riesgo, posibles sanciones GDPR, y horas de trabajo para restaurar todo.
Si no tienes a nadie que lo haga, es momento de hacerte una pregunta.
Artículo original — 16 de febrero de 2017
Ataque a WordPress, modificados los contenidos de cientos de miles de sitios
Cientos de miles de sitios WordPress en todo el mundo — muchos en Italia — se encontraron con los contenidos reemplazados. No habían sido atacados uno por uno: un exploit en la REST API de WordPress 4.7.0 y 4.7.1 permitía modificar cualquier página sin autenticación, a través de simples solicitudes POST a la ruta /wp-json/wp/v2/posts.
El parche había salido el 26 de enero de 2017 con la versión 4.7.2. Quien no había actualizado estaba expuesto. La mayoría de los sitios no había actualizado.
Los mensajes dejados por los atacantes eran inicialmente de naturaleza política, pero el riesgo real era más grave: combinando la vulnerabilidad con plugins como Exec-PHP era posible ejecutar código arbitrario en el servidor. La lección era simple: actualizar WordPress no es opcional.