El reporte State of WordPress Security 2026 de Patchstack registró 11.334 vulnerabilidades nuevas durante el año, un 42% más que en 2024, con 333 CVEs divulgados solo en la primera semana de enero, de los cuales 120 no tenían parche disponible al momento de publicarse.
En 30 segundos
- 11.334 vulnerabilidades WordPress nuevas en 2026, un 42% más que el año anterior
- 333 CVEs en la primera semana de enero, 120 sin parche al momento de divulgarse
- Los atacantes inyectan código en archivos legítimos de core, plugins y temas para evitar la detección
- El 91% de las vulnerabilidades están en plugins; apenas 2 afectaron WordPress core
- Solo el 26% de los ataques fueron bloqueados por los proveedores de hosting
Qué es Patchstack y por qué su reporte importa
Patchstack es una plataforma de seguridad especializada en WordPress que mantiene una base de datos de vulnerabilidades verificadas, alimentada por su programa de investigación Patchstack Alliance. A diferencia de bases de datos genéricas, cada CVE que publican viene con análisis técnico propio, prueba de concepto y clasificación por severidad. Eso los convierte en una de las referencias más sólidas del ecosistema cuando querés saber qué está roto y qué tan urgente es parcharlo.
El reporte anual que sacan cada año es, básicamente, el balance más completo que existe sobre el estado real de la seguridad WordPress. No es marketing. Son números de su propia base de datos, cruzados con datos de explotación activa.
El de 2026 llegó con cifras que no son fáciles de ignorar.
Estadísticas principales: números que alarman para las vulnerabilidades WordPress 2026
11.334 vulnerabilidades nuevas en un año. Para ponerlo en perspectiva: eso es más de 30 por día, todos los días, sin pausa. El crecimiento del 42% respecto a 2024 no es un pico aislado sino la continuación de una tendencia que viene acelerándose desde 2022.
Pero el dato que más debería preocuparte como administrador de un sitio no es el total anual, sino lo que pasó en la primera semana de enero: 333 vulnerabilidades divulgadas en siete días, de las cuales 120 llegaron al público sin que existiera un parche disponible. Casi el 36% de los CVEs de esa semana eran zero-days activos en el momento de publicarse. ¿Qué significa eso en la práctica? Que había atacantes con exploit disponible antes de que el desarrollador del plugin supiera que tenía un problema.
El desglose por severidad también es relevante: la distribución entre alta, media y baja prioridad muestra que una porción significativa requiere resolución inmediata, no en el próximo ciclo de mantenimiento mensual.
La inyección de código: la técnica sigilosa que cambia el juego
El cambio más preocupante que documenta el reporte 2026 no está en los números totales sino en cómo operan los atacantes. La táctica que viene ganando terreno es inyectar código malicioso directamente en archivos que ya existen en tu instalación: archivos del core de WordPress, de tus plugins activos, de tu tema.
¿Por qué esto es más peligroso que el enfoque tradicional de crear archivos nuevos? Porque los escáneres de seguridad, los sistemas de detección por integridad de archivos y hasta la revisión manual están entrenados para buscar cosas raras, archivos que no deberían estar ahí. Un archivo `functions.php` con código inyectado al final sigue siendo `functions.php`. Pasa los chequeos de nombre, de ubicación, de permisos. La alerta no salta.
Los tipos de inyección más comunes según el reporte incluyen Cross-Site Scripting almacenado (XSS persistente), PHP Object Injection, y en los casos más graves, Remote Code Execution directo. Muchos de estos payloads usan eval() combinado con base64_decode() para ofuscar el código y dificultar la detección automática (spoiler: los escáneres buenos igual lo detectan, pero los básicos no).
Ponele que un atacante explota una vulnerabilidad de Arbitrary File Upload en un plugin de formularios. En vez de subir un webshell con nombre sospechoso, inyecta tres líneas al final de `wp-includes/class-wp-hook.php`. Tu instalación sigue funcionando, no hay error visible, y el código malicioso se ejecuta cada vez que WordPress dispara cualquier hook. Podés estar comprometido meses sin saberlo.
Distribución de vulnerabilidades: los plugins son el 91%
Los números por tipo de software no sorprenden a nadie que trabaje con WordPress hace tiempo, pero igual vale tenerlos claros.
| Tipo de software | % del total de CVEs | Notas |
|---|---|---|
| Plugins | 91% | Vector principal, ecosistema fragmentado |
| Temas | ~8% | Incluye frameworks de page builders |
| WordPress core | <1% (2 CVEs) | Solo 2 vulnerabilidades en todo el año |
Solo 2 vulnerabilidades en WordPress core durante todo 2026. El equipo de seguridad de Automattic hace bien su trabajo. El problema no es el núcleo, nunca lo fue.
El problema es el ecosistema. Con más de 60.000 plugins en el repositorio oficial y miles más distribuidos de forma independiente, la superficie de ataque es enorme y la calidad del código varía mucho. Hay plugins activos con 200.000 instalaciones mantenidos por una sola persona que además tiene otro trabajo. Esa es la realidad del ecosistema.
Los tipos de vulnerabilidades más comunes en plugins siguen siendo XSS (tanto reflejado como almacenado), Broken Access Control, y CSRF. Las de mayor impacto son las de Arbitrary File Upload y las de Object Injection, porque permiten ejecución remota de código con el vector adecuado.
Velocidad de explotación: la carrera contra el reloj
El tiempo mediano entre la divulgación de una vulnerabilidad y el primer intento de explotación activa es de 5 horas. No días. Horas.
La distribución es todavía más reveladora: el 20% de las vulnerabilidades se intentan explotar dentro de las primeras 6 horas, el 45% dentro de las primeras 24 horas, y el 70% en los primeros 7 días. Para cuando llegaste el lunes a revisar las actualizaciones pendientes del fin de semana, probablemente ya hubo intentos de explotación en tu sitio.
¿Y qué significa esto para la estrategia de seguridad? Que «parchear rápido» ya no es suficiente como única defensa. Si la ventana de exposición entre divulgación y parche disponible puede ser de días o semanas (recordemos: 120 CVEs sin parche en la primera semana del año), necesitás capas de defensa que funcionen antes de que el parche exista.
Acá es donde entran los WAF con reglas virtuales, las reglas de ModSecurity, y herramientas como el plugin de Patchstack que aplican parches virtuales antes de que el parche oficial exista. No es marketing, es la lógica de los números: si el exploit llega en 5 horas y el parche tarda 48, necesitás algo en el medio.
El rol insuficiente de los proveedores de hosting
Solo el 26% de los ataques documentados fueron bloqueados por las defensas del proveedor de hosting. Tres de cada cuatro ataques pasaron.
Esto no quiere decir que el hosting sea irrelevante para la seguridad, pero sí que no podés depender de él como línea principal de defensa. El hosting puede ayudar con ataques volumétricos, con algunas firmas conocidas a nivel de red, con el aislamiento entre cuentas. Pero un ataque dirigido que explota una vulnerabilidad específica en tu versión de un plugin generalmente no lo va a frenar el firewall del servidor.
La implicación práctica: si tu estrategia de seguridad es «el hosting se encarga», estás cubierto solo contra una fracción de los ataques reales. Si usás donweb.com u otro proveedor de alojamiento WordPress, aprovechá lo que ofrezcan (firewalls, backups automáticos, detección de malware), pero construí defensas propias a nivel de la aplicación.
Cómo detectar vulnerabilidades inyectadas en tu WordPress
Dado que la inyección en archivos legítimos es el vector de moda, los enfoques de detección tienen que adaptarse.
Herramientas de escaneo
Wordfence tiene su escáner de integridad de archivos que compara el hash de cada archivo de WordPress core y plugins del repositorio oficial contra la versión limpia. Detecta modificaciones en archivos conocidos. Sucuri SiteCheck hace algo parecido desde afuera, escaneando el HTML renderizado. El plugin de Patchstack, por su parte, combina detección de vulnerabilidades conocidas con protección activa.
WPScan desde línea de comandos es útil para auditorías puntuales: identifica plugins, versiones, y cruza contra su base de datos de CVEs. Es la herramienta que usan los pentesters, y podés correrla contra tu propio sitio.
Búsqueda manual de patrones sospechosos
Si querés buscar manualmente (o escribir un script para hacerlo), los patrones que aparecen más seguido en código inyectado son: eval(, base64_decode(, str_rot13(, gzinflate(, y combinaciones de estas funciones. También strings largos de caracteres random que son código ofuscado.
Un grep recursivo en tu instalación buscando eval(base64_decode es un buen punto de partida. Si aparece algo fuera de un plugin que genuinamente necesita eso (pocos lo necesitan), hay que investigar.
Monitoreo de logs
Los logs de acceso del servidor pueden mostrar patrones de exploración: requests a rutas raras, parámetros con payloads obvios, secuencias de requests que parecen un scanner automatizado. Si tu hosting te da acceso a los logs (y debería), revisarlos periódicamente o configurar alertas para patrones anómalos vale la pena.
Estrategia de protección por capas
La respuesta al escenario que describe el reporte no es una sola herramienta sino una estrategia por capas. Cada capa cubre lo que la anterior no puede.
- Actualizaciones automáticas activadas para plugins y temas (con backup previo). La ventana de exposición post-parche tiene que ser mínima.
- Remover plugins inactivos. Un plugin desactivado pero instalado sigue siendo código ejecutable en algunos escenarios y superficie de ataque permanente.
- WAF con parches virtuales. Wordfence, Patchstack o similar configurados y activos, no solo instalados. Un plugin de seguridad que nunca configuraste es decoración.
- Monitoreo de integridad de archivos. Que el sistema te avise cuando un archivo core o de plugin cambia inesperadamente.
- Backups verificados y frecuentes. Si todo falla, necesitás poder restaurar. Un backup que nunca probaste puede no funcionar cuando lo necesitás.
- Principio de mínimo privilegio en cuentas WordPress y base de datos.
Ninguna de estas medidas sola es suficiente. Combinadas, reducen el riesgo a un nivel manejable. Pero «manejable» no es «cero», porque el ecosistema WordPress seguirá produciendo vulnerabilidades mientras exista.
Qué está confirmado / Qué no
| Dato | Estado | Fuente |
|---|---|---|
| 11.334 vulnerabilidades nuevas en 2026 | Confirmado | Patchstack State of WordPress Security 2026 |
| 333 CVEs en primera semana de enero | Confirmado | Patchstack, estadísticas de base de datos |
| 120 CVEs sin parche al momento de divulgación | Confirmado | Patchstack whitepaper 2026 |
| Tiempo mediano de explotación: 5 horas | Confirmado | Patchstack 2026 report |
| Solo 26% de ataques bloqueados por hosting | Confirmado | Patchstack 2026 report |
| Inyección en archivos legítimos como técnica dominante | Confirmado con tendencia creciente | Patchstack + Sucuri blog |
| Proyecciones para resto de 2026 | No disponible aún | El reporte cubre el período publicado |
Errores comunes al leer este tipo de reportes
Error 1: «Yo uso un hosting managed, estoy cubierto.» El 26% de bloqueo por parte del hosting ya dejó claro que no. El hosting es una capa, no la solución completa. Necesitás defensa a nivel de aplicación igual.
Error 2: Actualizar plugins una vez por semana es suficiente. Si el tiempo mediano de explotación es 5 horas y vos revisás actualizaciones el viernes, tuviste varios días de exposición activa. La automatización de actualizaciones con backup previo es mejor que la revisión manual semanal para plugins de bajo riesgo.
Error 3: «Mis plugins son conocidos y de mucho uso, están bien mantenidos.» Los plugins más populares son también los más atacados. Más instalaciones activas = más incentivo para encontrar y explotar vulnerabilidades. La popularidad no es garantía de seguridad, aunque sí suele implicar parches más rápidos cuando aparece algo.
Error 4: Interpretar «sin parche disponible» como «no explotable». Es exactamente lo contrario. Sin parche significa que el atacante tiene ventaja. Esos 120 CVEs sin parche de la primera semana son los más peligrosos del lote, no los que podés ignorar hasta que salga la actualización.
Preguntas Frecuentes
¿Cuántas vulnerabilidades de WordPress se reportaron en 2026?
Patchstack registró 11.334 vulnerabilidades nuevas en WordPress durante 2026, un 42% más que en 2024. De estas, 333 se divulgaron en la primera semana de enero solamente. El 91% corresponde a plugins, mientras que WordPress core registró apenas 2 CVEs en todo el año.
¿Qué es la inyección de código en archivos legítimos y cómo afecta a WordPress?
Es una técnica donde el atacante inserta código malicioso dentro de archivos que ya existen en la instalación de WordPress (archivos del core, plugins o temas activos) en lugar de crear archivos nuevos. Esto dificulta la detección porque los escáneres básicos buscan archivos desconocidos, no modificaciones en archivos conocidos. El código inyectado puede ejecutarse cada vez que WordPress carga esos archivos, lo que permite acceso persistente y difícil de identificar.
¿Cuál es la velocidad promedio de explotación de vulnerabilidades WordPress?
El tiempo mediano entre la divulgación de una vulnerabilidad y el primer intento de explotación es de 5 horas, según el reporte de Patchstack 2026. El 20% de las vulnerabilidades se intentan explotar en las primeras 6 horas, y el 70% dentro de los primeros 7 días. Esto hace que depender solo de actualizaciones manuales sea insuficiente como estrategia de seguridad.
¿Por qué el 36% de vulnerabilidades no tienen parche al momento de divulgación?
En la primera semana de enero 2026, 120 de los 333 CVEs publicados no tenían parche disponible. Esto ocurre porque los investigadores de seguridad a veces divulgan vulnerabilidades después de un período de espera razonable incluso si el desarrollador no respondió o no pudo arreglar el problema a tiempo. También ocurre con plugins abandonados o con mantenimiento esporádico, donde el desarrollador no reacciona rápido o directamente no corrige el problema.
¿Cómo detectar código inyectado en plugins y temas de WordPress?
Las herramientas más efectivas son Wordfence (escaneo de integridad de archivos comparado contra hashes verificados) y el plugin de Patchstack (parches virtuales + detección). Para búsqueda manual, buscá patrones como eval(base64_decode(, gzinflate( o str_rot13( en archivos PHP de tu instalación. WPScan desde línea de comandos también es útil para auditorías puntuales cruzando contra su base de CVEs conocidos.
Conclusión
El reporte de Patchstack confirma lo que muchos ya intuían: el problema de las vulnerabilidades WordPress 2026 no es que existan, sino la velocidad a la que se explotan y la forma en que los atacantes están evolucionando sus técnicas. 11.334 CVEs en un año, 5 horas de ventana hasta el primer exploit, y una técnica de inyección diseñada específicamente para burlar los controles de seguridad estándar.
Lo que cambia con este reporte es que la defensa reactiva (actualizar cuando hay parche) ya no alcanza como estrategia única. La superficie de ataque es demasiado grande y la velocidad de explotación demasiado alta. Un WAF con parches virtuales, monitoreo de integridad de archivos, y backups verificados no son «extras» de seguridad en 2026. Son el piso mínimo.
Si administrás uno o varios sitios WordPress, el primer paso concreto después de leer esto es revisar qué plugins tenés instalados pero no usás, y eliminarlos. Es el cambio de menor fricción con impacto real en la superficie de ataque. El segundo es activar el monitoreo de integridad de archivos si no lo tenés. Ambas cosas se hacen en menos de una hora.
Fuentes
- Patchstack – State of WordPress Security in 2026 (whitepaper oficial)
- Patchstack – Estadísticas de vulnerabilidades WordPress 2026
- The Repository – Resumen del reporte Patchstack 2026
- Sucuri Blog – Inyección de scripts maliciosos en sitios WordPress
- WordPress.org – Herramientas para detectar vulnerabilidades de seguridad