Vulnerabilidades de plugins y temas WordPress: 3 tests que revelan tu superficie de ataque

El 70 % de los sitios WordPress hackeados lo son a través de un plugin obsoleto. Orilyt escanea el HTML, identifica cada plugin y tema instalado, y cruza las versiones con la base de vulnerabilidades WPScan.

WordPress impulsa más del 40 % de la web. Esa popularidad lo convierte en el objetivo número uno de los atacantes. Y el eslabón débil casi nunca es el núcleo de WordPress — son los plugins. Según datos de Patchstack y WPScan, aproximadamente el 70 % de los sitios WordPress comprometidos lo son a través de una vulnerabilidad en un plugin o tema obsoleto.

El problema es que la mayoría de los propietarios de sitios ni siquiera saben qué plugins son visibles desde el exterior. Cada plugin deja rastros en el código HTML: rutas a /wp-content/plugins/, archivos CSS y JavaScript con parámetros de versión. Para un atacante, es una hoja de ruta.

Orilyt ejecuta tres tests complementarios para mapear esta superficie de ataque. El test #47 detecta los plugins expuestos y sus versiones. El test #46 identifica el tema activo. El test #15 cruza esta información con la base de vulnerabilidades WPScan para revelar las CVE conocidas. Juntos, transforman una verificación técnica en un argumento comercial inmediato.

Test #47: ¿Qué plugins son visibles desde fuera?

El test #47 analiza el código HTML de la página para detectar los plugins WordPress instalados. No se conecta al back-office — simplemente mira lo que es visible públicamente. El método:

1. Escaneo de rutas — cada ocurrencia de /wp-content/plugins/{slug}/ en el HTML es extraída. El slug (identificador único del plugin) se recopila y deduplica. Ejemplo: si el HTML contiene /wp-content/plugins/contact-form-7/css/styles.css, el plugin «contact-form-7» es identificado
2. Extracción de versiones — las URLs de assets de WordPress a menudo incluyen un parámetro ?ver=X.Y.Z. El test #47 analiza estos parámetros para cada plugin detectado. Ejemplo: /wp-content/plugins/elementor/assets/js/frontend.min.js?ver=3.18.2 revela que Elementor versión 3.18.2 está instalado
3. Conteo y puntuación — el número de plugins detectados y versiones expuestas determina la puntuación. 8+ plugins con 3+ versiones expuestas = puntuación 40/100. 4+ plugins o 2+ versiones = puntuación 55. Pocos plugins sin versiones = puntuación 75

El test almacena hasta 25 plugins y sus versiones en los datos brutos del informe. Para cada plugin, se incluyen hasta 3 evidencias (rutas encontradas). Es una fotografía completa de la superficie de ataque por extensiones.

Test #46: ¿Qué tema está expuesto?

El test #46 usa la misma lógica de escaneo HTML, pero apunta a las rutas /wp-content/themes/:

1. Detección del tema activo — cada ocurrencia de /wp-content/themes/{slug}/ en el HTML es extraída. El tema más frecuente se considera el activo (un tema hijo puede coexistir con su tema padre)
2. Puntuación simple — si un tema es detectable, la puntuación es 80/100. Si ningún tema es visible (raro), la puntuación es 100. Exponer el nombre del tema no es una vulnerabilidad en sí, pero abre la puerta

¿Por qué importa el tema? Los temas WordPress ejecutan código PHP del lado del servidor. Un tema «nulled» (pirateado) casi siempre contiene puertas traseras. Un tema abandonado por su desarrollador nunca recibirá parches de seguridad. Y a diferencia de los plugins, el tema se carga en cada página del sitio — la superficie de exposición es máxima.

El test #46 también proporciona la lista de temas candidatos y las evidencias asociadas, lo que permite identificar la presencia de un tema padre (como «flavor») y un tema hijo (como «flavor-child»).

Test #15: ¿Vulnerabilidades conocidas en tus versiones?

Este es el test que transforma una simple detección en una señal de alarma. El test #15 utiliza la base de datos WPScan — la referencia mundial en vulnerabilidades WordPress — para cruzar las versiones detectadas con las fallas conocidas:

1. Versión del núcleo WordPress — si la versión de WordPress es detectable (a través del meta generator u otros indicios), se envía a la API WPScan. La respuesta incluye todas las CVE conocidas para esa versión, con la puntuación CVSS y la versión corregida
2. Puntuación basada en vulnerabilidades — sin CVE conocidas = puntuación 100. 1 a 3 vulnerabilidades = puntuación 60 (a mejorar). Más de 3 vulnerabilidades = puntuación 30 (crítico). Si la versión no es detectable, la puntuación sube a 90 (buena práctica de ocultación)
3. Detalle de las fallas — el informe muestra hasta 8 vulnerabilidades con el título, número CVE, puntuación CVSS y la versión que corrige el problema. Es concreto, verificable e imposible de ignorar para un cliente

La potencia de este test viene de la combinación con los tests #47 y #46. Un cliente que ve «Elementor 3.18.2 detectado» puede no preocuparse. Pero si además ve «2 CVE críticas conocidas para esta versión, corregidas en 3.19.0», la urgencia es inmediata.

Riesgos concretos: por qué es urgente

Los plugins y temas vulnerables no son un riesgo teórico. Estos son los escenarios más frecuentes:

1. Plugins abandonados — un plugin que no se ha actualizado en más de 2 años probablemente nunca recibirá un parche. Si se descubre una falla, permanece abierta indefinidamente. El sitio es un objetivo permanente
2. Versiones obsoletas con CVE — una versión específica de un plugin con una CVE publicada es una invitación para scripts automatizados. Los bots escanean la web permanentemente buscando estas firmas exactas de versión+plugin
3. Temas «nulled» (pirateados) — temas premium descargados gratis de sitios terceros contienen casi sistemáticamente puertas traseras (backdoors). El sitio queda comprometido desde la instalación
4. Acumulación de plugins — cada plugin activo aumenta la superficie de ataque. Un sitio con 30 plugins tiene 30 puntos de entrada potenciales. La regla: instalar solo lo estrictamente necesario

Cómo protegerse: buenas prácticas

La buena noticia: la protección contra vulnerabilidades de plugins es en gran medida una cuestión de disciplina, no de presupuesto:

1. Actualizaciones regulares — activar las actualizaciones automáticas para plugins y temas (WordPress lo soporta nativamente desde la versión 5.5). Verificar manualmente cada semana las actualizaciones mayores
2. Minimalismo — desactivar y eliminar todo plugin no utilizado. Un plugin desactivado pero presente en el servidor sigue siendo explotable. Apuntar a menos de 15 plugins activos
3. Solo fuentes oficiales — nunca instalar un tema o plugin de un sitio tercero no verificado. WordPress.org y los marketplaces oficiales (ThemeForest, Elegant Themes) aplican controles de seguridad
4. Monitoreo continuo — una auditoría puntual es un buen inicio, pero la vigilancia continua es esencial. Se publican nuevas CVE cada semana. Orilyt permite relanzar auditorías regularmente para detectar desviaciones

Para freelancers y agencias que gestionan sitios de clientes, estas prácticas no son solo recomendaciones — son una obligación profesional. Un sitio de cliente comprometido a través de un plugin obsoleto que deberías haber actualizado es tu responsabilidad.

Valor comercial: el hallazgo más convincente

De todos los tests de Orilyt, la detección de plugins vulnerables es probablemente el hallazgo que genera más conversiones para freelancers y agencias. La razón es simple: es concreto, da miedo y es verificable.

En el informe Orilyt, los tres tests generan recomendaciones FIA (Hecho-Impacto-Acción) inmediatas:

1. Hecho: «12 plugins detectados, 4 con versiones expuestas. 2 CVE críticas identificadas vía WPScan para Elementor 3.18.2»
2. Impacto: «Un atacante puede apuntar a estas versiones exactas con exploits públicos. El riesgo de compromiso es alto e inmediato»
3. Acción: «Actualizar Elementor a 3.19.0+, desactivar plugins no utilizados, ocultar los números de versión en el código fuente»

Cuando un cliente ve la lista de sus plugins vulnerables con las CVE asociadas, la conversación pasa instantáneamente de «¿necesito una auditoría?» a «¿cuándo pueden empezar las correcciones?». Es el argumento de venta más poderoso de una auditoría de seguridad WordPress.

Tu superficie de ataque WordPress, mapeada en 2 minutos

Los plugins son la mayor fortaleza de WordPress — y su mayor debilidad. Extienden la funcionalidad, pero cada uno añade código de terceros que debe ser mantenido y monitoreado. Los tests #47, #46 y #15 de Orilyt automatizan este trabajo de vigilancia.

El test #47 revela qué plugins son visibles y qué versiones están expuestas. El test #46 identifica el tema activo. El test #15 cruza todo con la base WPScan para identificar vulnerabilidades conocidas. Juntos, proporcionan un mapa completo de la superficie de ataque.

Para un freelancer o agencia, este tríptico es la herramienta más eficaz para demostrar el valor de una auditoría de seguridad. Los resultados son concretos, verificables y crean la urgencia necesaria para desencadenar un mandato de corrección.