«Si funciona, no lo toques» — la frase favorita de los propietarios de sitios WordPress. Y los hackers están de acuerdo.

Cientos de sitios en WordPress permanecen durante años un objetivo cómodo no por vulnerabilidades raras, sino por versiones antiguas de PHP, extensiones olvidadas y configuraciones que los propietarios dejaron alguna vez "por defecto".
Los especialistas de Censys estudiaron instalaciones de WordPress expuestas en internet y descubrieron que más del 70% de los sitios con información visible sobre PHP funcionan con versiones obsoletas del lenguaje del servidor. Solo el 14% de los sitios públicamente accesibles de WordPress usan la corrección más reciente del propio sistema de gestión de contenidos. Incluso si se incluye WordPress 6.9, cuyo soporte finalizó el 20 de marzo de 2026, la proporción de instalaciones relativamente actuales alcanza apenas el 31%.
WordPress sigue siendo uno de los sistemas más populares para publicar sitios sin trabajar directamente con código. Según Censys a junio de 2026, en internet se ven más de 59 millones de objetos web en WordPress, alojados en más de 1 millón de direcciones IP distintas. El problema es que el propio sistema puede recibir actualizaciones, mientras que la base del servidor bajo él permanece sin cambios durante años.
La versión de PHP más común entre los sitios estudiados fue PHP 7.4. Más del 20% de los recursos la usan, aunque su soporte terminó en noviembre de 2022. Para el propietario de un sitio, una versión antigua suele parecer "si funciona, está bien", pero para los atacantes ese servidor se convierte en un objetivo predecible con fallos bien conocidos.
Las extensiones de WordPress plantean un problema aparte. A junio de 2026 casi 7,5 millones de sitios mostraban públicamente al menos una extensión instalada. Incluso entre los usuarios del popular Yoast SEO, menos del 22% de los sitios con la versión visible trabajaban con el lanzamiento más reciente, la 27.7 del 27 de mayo de 2026. Considerando la versión 27.6, la cifra sube al 40%, pero la mayoría de las instalaciones sigue estando desactualizada.
Las extensiones tienen su propia zona de riesgo. No se revisan tan estrictamente como el núcleo de WordPress, y en complementos populares se han encontrado durante años numerosas vulnerabilidades. Las versiones antiguas pueden exponer datos, permitir eludir el acceso al sistema o subir código malicioso. Los atacantes también pueden falsificar extensiones conocidas, comprar proyectos abandonados o incrustar en ellas accesos ocultos.
Censys cita la campaña MR.GREEN, en la que desconocidos hackean sitios y reemplazan el contenido con el mensaje "Hacked By MR.GREEN". A junio de 2026 los especialistas encontraron más de 900 de esos sitios comprometidos. Casi todos los recursos afectados funcionaban con sistemas de gestión de contenidos, con mayor frecuencia en WordPress.
Se detectaron rastros de este tipo de intrusiones ya en 2020, pero la campaña sigue activa. No se sabe exactamente cómo entraron los atacantes; sin embargo, muchos sitios afectados presentan las mismas debilidades: software desactualizado, la página de instalación de WordPress abierta, el archivo xmlrpc.php accesible y acceso remoto por SSH sin restricciones estrictas.
El archivo xmlrpc.php pertenece a un antiguo mecanismo de gestión remota de WordPress. Si se deja abierto, los atacantes pueden probar contraseñas y buscar extensiones instaladas. Los datos de GreyNoise de los últimos 90 días muestran 70 direcciones IP que han escaneado activamente esos puntos de entrada.
Según las observaciones de Censys, MR.GREEN no siempre persigue un objetivo complejo. Los atacantes a menudo simplemente dejan el sitio con una inscripción sobre el hackeo y el tema predeterminado de WordPress. Pero incluso ese escenario muestra cuán rápido los pequeños errores se acumulan en un riesgo serio: una versión antigua de PHP, una extensión olvidada, un archivo de servicio abierto y configuraciones débiles de acceso remoto dan a los atacantes demasiadas oportunidades.
Los especialistas de Censys recomiendan a los propietarios de sitios actualizar no solo WordPress, sino también PHP, las extensiones, los temas y la configuración del servidor. PHP recibe soporte durante un periodo limitado, por lo que conviene comprobar las actualizaciones cada 1–3 meses e instalar los parches críticos cuanto antes. En WordPress es peligroso activar a ciegas las actualizaciones automáticas de todo, pero posponer las correcciones durante años es aún peor. Un sitio puede parecer normal y funcional mientras su servidor se convierte poco a poco en una puerta abierta.