¿Quieres saber cuántas webs de WordPress son hackeadas? ¡Entonces no querrás perderte estas estadísticas de hackeo de WordPress!
WordPress es el CMS más popular del mundo. Impulsa más webs que cualquier otro software. Pero, por desgracia, esa popularidad también lo convierte en uno de los objetivos más comunes para los hackers.
Cada año, millones de webs de WordPress caen víctimas de ciberataques. Si no quieres formar parte de ese grupo, conviene mantenerse informado.
Con eso en mente, vamos a compartir más de 50 estadísticas de hackeo de WordPress que los dueños y administradores de webs necesitan conocer este año.
Las estadísticas de abajo te ayudarán a conocer mejor el estado actual de la seguridad de WordPress en 2024. Revelarán las vulnerabilidades de web más comunes que explotan los hackers y destacarán algunas buenas prácticas que pueden ayudarte a mantener tu web segura y protegida.
¿Listo? ¡Empecemos!
¿Cuántas webs de WordPress son hackeadas?
Nadie sabe exactamente cuántas webs de WordPress son hackeadas, pero nuestra mejor estimación es de al menos 13.000 al día. Eso son unas 9 por minuto, 390.000 al mes y 4,7 millones al año.
Llegamos a esta estimación basándonos en el hecho de que Sophos informa de que más de 30.000 webs son hackeadas a diario, y de que el 43 % de todas las webs están construidas con WordPress.
¿Qué porcentaje de webs de WordPress son hackeadas?
Según Sucuri, el 4,3 % de las webs de WordPress que se escanearon con SiteCheck (un popular escáner de seguridad de webs) en 2021 habían sido hackeadas (infectadas). Eso es alrededor de 1 de cada 25 webs.
Aunque no todas las webs de WordPress usan SiteCheck, esto es, no obstante, probablemente un buen indicador del porcentaje del total de webs de WordPress que son hackeadas.
Sucuri también descubrió que el 10,4 % de las webs de WordPress estaban en riesgo de ser hackeadas por ejecutar software desactualizado.
¿Cuál es la plataforma CMS más hackeada?
WordPress fue el CMS (sistema de gestión de contenidos) más hackeado en 2021, según el informe anual de webs hackeadas de Sucuri. Más del 95,6 % de las infecciones detectadas por Sucuri estaban en webs que ejecutan WordPress.
Los 5 CMS más hackeados:
- WordPress – 95,6 %
- Joomla – 2,03 %
- Drupal – 0,83 %
- Magento – 0,71 %
- OpenCart – 0,35 %
Sin embargo, cabe señalar que el hecho de que la mayoría de las infecciones detectadas por Sucuri estuvieran en webs que ejecutan WordPress no significa necesariamente que haya algo intrínsecamente vulnerable en el software central de WordPress.
Al contrario, es más probable que sea simplemente un reflejo del hecho de que WordPress es, con mucho, el CMS más usado, y de que los usuarios de WordPress son más propensos a usar plugins como Sucuri que los usuarios de otros CMS.
Fuentes: Sophos, Colorlib, Sucuri1
¿Cuáles son los hackeos más comunes de WordPress?
El malware es el tipo de hackeo de WordPress más común observado por Sucuri durante la respuesta a incidentes. En total, el 61,65 % de las infecciones encontradas por Sucuri se clasificaron como malware. Otras infecciones comunes incluyeron hackeos de puerta trasera, spam SEO, hacktools y hackeos de phishing.
Principales hackeos de WordPress encontrados por Sucuri
- Malware 61,65 %
- Puerta trasera (backdoor) – 60,04 %
- Spam SEO – 52,60 %
- Hacktool – 20,27 %
- Phishing – 7,39 %
- Desfiguraciones (defacements) – 6,63 %
- Mailer – 5,92 %
- Dropper – 0,63 %
Malware
El malware es el tipo de hackeo de WordPress más común encontrado por Sucuri. Este es un término amplio y general que se refiere a cualquier tipo de software malicioso usado por los cibercriminales para dañar o explotar tu web de WordPress. El tipo de malware más común es el malware de PHP.
El malware es uno de los tipos de infecciones de seguridad más dañinos ya que, a diferencia de las puertas traseras y el spam SEO, a menudo pone a los visitantes de tu sitio en riesgo de algún tipo de acción maliciosa.
Por ejemplo, un ejemplo común de malware es una infección de SiteURL/HomeURL, que consiste en infectar tu sitio con código que redirige a tus visitantes a dominios maliciosos o fraudulentos para robar sus datos de inicio de sesión.
Otro ejemplo es el robo de datos de tarjetas de crédito (skimming): un ataque basado en la web en el que los hackers inyectan código malicioso en webs de comercio electrónico para robar la información de las tarjetas de crédito y débito de los visitantes. Curiosamente, las estadísticas muestran que el 34,5 % de las webs infectadas con un skimmer de tarjetas de crédito funcionan con WordPress.
Puerta trasera (backdoor)
Las puertas traseras son el segundo tipo de hackeo de WordPress más común encontrado por Sucuri. Como su nombre sugiere, estos tipos de infecciones permiten a los hackers eludir los canales de inicio de sesión habituales para acceder al back-end de tu web a través de una "puerta trasera" secreta y comprometer el entorno.
Spam SEO
El spam SEO es el tercer hackeo más común encontrado por Sucuri y está presente en más de la mitad de todas las infecciones.
Este tipo de hackeo consiste en infectar sitios para mejorar la optimización en motores de búsqueda y dirigir tráfico a webs de terceros configurando redirecciones, publicando entradas de spam e insertando enlaces.
Mientras tanto, esto daña la puntuación SEO de tu propio dominio y puede afectar negativamente a tu posición orgánica en motores de búsqueda como Google.
Estadísticas clave:
- El 32,2 % de las infecciones de spam SEO están relacionadas con inyectores de spam, que salpican el entorno comprometido con enlaces de spam ocultos con fines SEO.
- Otros tipos publican un montón de blogs con fines SEO, normalmente sobre temas de spam.
- El 28 % de las infecciones de spam SEO están relacionadas con productos farmacéuticos (Viagra, Cialis, etc.)
- El 22 % estaban relacionadas con el spam SEO japonés (estas campañas contaminan los resultados de búsqueda de la web víctima con productos de marca falsificados y aparecen en las SERP en texto japonés).
- Las campañas de redirección apuntan con mayor frecuencia a los dominios de nivel superior .ga y .ta
Fuentes: Sucuri1
Vulnerabilidades de seguridad de WordPress
A continuación, veamos algunas estadísticas de WordPress que nos dicen más sobre las vulnerabilidades de seguridad que los hackers explotan con mayor frecuencia.
¿Cuál es la mayor vulnerabilidad de seguridad de WordPress?
Los temas y los plugins son las mayores vulnerabilidades de seguridad de WordPress. El 99,42 % de todas las vulnerabilidades de seguridad del ecosistema de WordPress procedieron de estos componentes en 2021. Esto supone un aumento respecto al 96,22 % de 2020.
Para desglosarlo un poco más, el 92,81 % de las vulnerabilidades procedieron de plugins, y el 6,61 % de temas.
Entre los plugins vulnerables de WordPress, el 91,38 % eran plugins gratuitos disponibles a través del repositorio de WordPress.org, y solo el 8,62 % eran plugins premium vendidos a través de mercados de terceros como Envato.
Estadísticas clave:
- El 42 % de los sitios de WordPress tienen al menos un componente vulnerable instalado.
- Curiosamente, solo el 0,58 % de las vulnerabilidades de seguridad encontradas por Patchstack procedían del software central de WordPress.
Principales vulnerabilidades de WordPress por tipo
Las vulnerabilidades de cross-site scripting (CSS) representan casi la mitad (~50 %) de todas las vulnerabilidades añadidas a la base de datos de Patchstack en 2021. Esto supone un aumento respecto al 36 % de 2020.
Otras vulnerabilidades comunes en la base de datos incluyen:
- Otros tipos de vulnerabilidad combinados – 13,3 %
- Cross-site Request Forgery (CSRF) – 11,2 %
- Inyección SQL (SQLi) – 6,8 %
- Subida arbitraria de archivos – 6,8 %
- Autenticación rota – 2,8 %
- Divulgación de información – 2,4 %
- Vulnerabilidad de evasión (bypass) – 1,1 %
- Escalada de privilegios – 1,1 %
- Ejecución remota de código (RCE) – 0,9 %
Principales vulnerabilidades de WordPress por gravedad
Patchstack clasifica cada vulnerabilidad de su base de datos según su gravedad. Para ello usa el sistema CVSS (Common Vulnerability Scoring System), que asigna un valor numérico entre 0 y 10 a cada vulnerabilidad según su gravedad.
La mayoría de las vulnerabilidades de WordPress identificadas por Patchstack el año pasado recibieron una puntuación CVSS entre 4 y 6,9, lo que las convierte en de gravedad "Media".
- El 3,4 % de las vulnerabilidades identificadas eran de gravedad Crítica (puntuación CVSS 9-10)
- El 17,9 % de las vulnerabilidades identificadas eran de gravedad Alta (puntuación CVSS 7-8,9)
- El 76,8 % de las vulnerabilidades identificadas eran de gravedad Media (puntuación CVSS 4-6,9)
- El 1,9 % de las vulnerabilidades identificadas eran de gravedad Baja (puntuación CVSS 0,1-3,9)
Principales vulnerabilidades atacadas
Las cuatro vulnerabilidades más "atacadas" de la base de datos de Patchstack fueron:
- OptinMonster (versión 2.7.4 y anteriores) – REST-API sin proteger que lleva a la divulgación de información sensible y acceso no autorizado a la API
- PublishPress Capabilities (versión 2.3 y anteriores) – Cambio de ajustes sin autenticación
- Booster for WooCommerce (versión 5.4.3 y anteriores) – Evasión de autenticación
- Image Hover Effects Ultimate (versión 9.6.1 y anteriores) – Actualización arbitraria de opciones sin autenticación
Fuente: Sucuri1, Patchstack
Estadísticas de hackeo de plugins de WordPress
Como mencionamos antes, los plugins de WordPress son la fuente más común de vulnerabilidades de seguridad que permiten a los hackers infiltrarse en tu web o comprometerla. A continuación, veremos algunas estadísticas de hackeo de WordPress relacionadas con los plugins de WordPress.
Por si no lo sabías, los plugins son pequeñas aplicaciones de software de terceros que puedes instalar y activar en tu sitio de WordPress para ampliar su funcionalidad.
¿Cuántas vulnerabilidades de plugins de WordPress hay?
Se encontraron 35 vulnerabilidades críticas en plugins de WordPress en 2021. De forma preocupante, dos de ellas estaban en plugins con más de 1 millón de instalaciones: All in One SEO y WP Fastest Cache.
La buena noticia es que ambas vulnerabilidades anteriores fueron parcheadas rápidamente por los desarrolladores de los plugins. Sin embargo, el 29 % del número total de plugins de WordPress que se descubrió que tenían vulnerabilidades críticas no recibieron un parche.
¿Cuáles son los plugins de WordPress más vulnerables?
Contact Form 7 fue el plugin de WordPress vulnerable identificado con mayor frecuencia. Se encontró en el 36,3 % de todas las webs infectadas en el momento de la infección.
Sin embargo, es importante señalar que esto no significa necesariamente que Contact Form 7 fuera el vector de ataque que los hackers explotaron en estos casos, solo que contribuyó al entorno inseguro general.
TimThumb fue el segundo plugin de WordPress vulnerable identificado con mayor frecuencia en el momento de la infección y se encontró en el 8,2 % de todas las webs infectadas. Esto es especialmente sorprendente dado que la vulnerabilidad de TimThumb tiene más de una década.
Los 10 principales plugins de WordPress vulnerables identificados:
| Principales componentes vulnerables de WordPress | Porcentaje |
|---|---|
| 1. Contact Form 7 | 36,3 % |
| 2. TimThumb (script de redimensionado de imágenes usado por temas y plugins) | 8,2 % |
| 3. WooCommerce | 7,8 % |
| 4. Ninja Forms | 6,1 % |
| 5. Yoast SEO | 3,7 % |
| 6. Elementor | 3,7 % |
| 7. Freemius Library | 3,7 % |
| 8. PageBuilder | 2,7 % |
| 9. File Manager | 2,5 % |
| 10. WooCommerce Block | 2,5 % |
¿Cuántos plugins de WordPress deberías tener?
Las buenas prácticas sugieren que los dueños y administradores de webs deberían tener los menos plugins de WordPress posibles. Cuantos menos plugins tengas, menor será tu riesgo de encontrarte con una vulnerabilidad.
El sitio medio de WordPress tiene 18 plugins y temas distintos instalados. Esto son 5 menos que el año pasado y, en apariencia, parece un movimiento en la dirección correcta.
Sin embargo, se descubrió que más de esos plugins y temas estaban desactualizados este año en comparación con el año pasado. De media, 6 de cada 18 de los plugins instalados en las webs estaban desactualizados, frente a solo 4 de cada 23 el año pasado.
¿Cuál es el plugin de seguridad de WordPress más popular?
Jetpack es el plugin de seguridad de WordPress más popular del directorio de plugins de WordPress, con más de 5 millones de descargas. Sin embargo, es discutible si Jetpack puede clasificarse o no como un verdadero plugin de seguridad.
Aunque incluye funciones de seguridad como 2FA, detección de malware y protección contra fuerza bruta, también incluye otras funciones para cosas como la optimización de velocidad, las analíticas y herramientas de diseño. Esto lo convierte más en un plugin todo en uno que en un plugin de seguridad.
En cuanto a los plugins de seguridad específicos, Wordfence es el más popular, con 4 millones de descargas en la base de datos de plugins de WordPress.
Vulnerabilidades de los temas de WordPress
El 12,4 % de las vulnerabilidades de los temas de WordPress identificadas por Patchstack tenían una puntuación CVSS crítica (9,0 – 10,0). Y, de forma preocupante, 10 temas tenían un riesgo de seguridad de CVSS 10,0 que compromete todo el sitio del usuario mediante una subida arbitraria de archivos sin autenticación y la eliminación de opciones.
Fuentes: Patchstack, WordPress1, WordPress2
¿Cómo puedes proteger tu web de WordPress de ser hackeada?
Puedes proteger tu web de WordPress de ser hackeada reduciendo tu uso de plugins y temas, asegurándote de actualizar todo el software con frecuencia y parcheando las vulnerabilidades identificadas, y mediante el refuerzo (hardening) de WordPress.
Aquí tienes algunas estadísticas que revelan más sobre cómo aumentar la seguridad de tu web de WordPress.
Recomendaciones de refuerzo de WordPress más comunes
Según los datos de Sucuri, más del 84 % de las webs no tenían un firewall de aplicaciones web (WAF), lo que convierte a esta en la principal recomendación de refuerzo de WordPress.
Los WAF ayudan a parchear virtualmente las vulnerabilidades conocidas y protegen tu sitio frente a ataques DDoS, spam en los comentarios y bots malos.
También se descubrió que al 83 % de las webs les faltaba X-Frame-Options, una cabecera de seguridad que ayuda a mejorar tu seguridad protegiéndote del clickjacking e impidiendo que los hackers incrusten tu web en otra mediante un iframe. Esto convierte a X-Frame-Options en la segunda recomendación de refuerzo más común.
Las 5 recomendaciones de refuerzo más comunes detectadas por Sucuri:
- WAF ausente – 84 %
- X-Frame options – 83 %
- Sin CSP – 82 %
- Strict Transport Security – 72 %
- Sin redirección a HTTPS – 17 %
¿Cómo protegen los administradores de webs sus sitios?
Según una encuesta a administradores y dueños de webs, el 82 % ha llevado a cabo un refuerzo de seguridad, una práctica que consiste en dar pasos para hacer tu sitio de WordPress más difícil de hackear.
De ellos, el 27 % usó un plugin para reforzar su sitio, el 25 % realizó un refuerzo manual y el 30 % hizo una combinación de ambos. Solo el 18 % no hizo ningún refuerzo en absoluto.
Estadísticas clave:
- El 81 % de los administradores de WordPress encuestados tienen al menos un plugin de firewall instalado
- El 64 % de los administradores de WordPress encuestados usan 2FA (autenticación de dos factores), mientras que el 36 % no
- El 65 % de los administradores de WordPress encuestados usan plugins de registro de actividad.
- El 96 % de los administradores y dueños de webs de WordPress encuestados consideran la seguridad de WordPress muy importante. Y el 4 % la considera algo importante
- El 43 % de los administradores dedican de 1 a 3 horas al mes a la seguridad de WordPress
- El 35 % de los administradores dedican más de 3 horas al mes a la seguridad de WordPress
- El 22 % de los administradores dedican menos de 1 hora a la seguridad de WordPress.
¿Cómo protegen los profesionales web los sitios de sus clientes?
Según una encuesta reciente, casi la mitad de todos los profesionales web que trabajan con clientes dependen de plugins de seguridad premium para proteger las webs de sus clientes:
Principales métodos que usan los profesionales web para proteger los sitios de sus clientes:
- El 45,6 % paga por plugins de seguridad premium
- El 42,4 % usa plugins de seguridad gratuitos
- El 31,2 % paga a un proveedor de seguridad profesional
- El 28,8 % gestiona los problemas de seguridad internamente
- El 24,8 % deriva a sus clientes a un proveedor de seguridad profesional
- El 10,4 % usa otros métodos
- El 6,4 % dice a sus clientes que usen plugins gratuitos
- El 5,6 % no tiene un plan para la seguridad de la web
Principales tareas de seguridad que realizan los profesionales web
Actualizar WordPress (o cualquier CMS que use el cliente) y los plugins es la tarea de seguridad más común que realizan los profesionales web, con tres cuartas partes de todos los encuestados afirmando que esto es algo que hacen.
Principales tareas que los profesionales de seguridad web realizan para sus clientes:
- El 75 % actualiza el CMS y los plugins
- El 67 % hace copias de seguridad de los sitios
- El 57 % instala certificados SSL
- El 56 % monitoriza o escanea las webs en busca de malware
- El 38 % arregla sitios relacionados con problemas de seguridad
- El 34 % parchea vulnerabilidades
¿Con qué frecuencia deberías actualizar tu sitio de WordPress?
Como mencionamos antes, mantener tu web de WordPress actualizada es increíblemente importante desde el punto de vista de la seguridad.
La mayoría de los gestores de sitios actualizan su web de forma semanal (35 %), pero el 20 % ejecuta actualizaciones a diario y el 18 % lo hace mensualmente. El 21 % de los gestores de sitios tienen algún tipo de actualización automática configurada para no tener que hacerlo manualmente.
Estadísticas clave:
- El 52 % de los dueños y administradores de WP encuestados tienen habilitadas las actualizaciones automáticas para el software, los plugins y los temas de WP.
- El 25 % siempre prueba primero las actualizaciones en un entorno de prueba o de staging
- El 32 % a veces prueba las actualizaciones
- El 17 % nunca prueba las actualizaciones
- El 26 % solo prueba las actualizaciones importantes
Fuentes: Sucuri2, Sucuri3, WP White Security
Los costes del hackeo de WordPress
Ser hackeado puede costar a las empresas una pequeña fortuna. Que te eliminen el malware profesionalmente cuesta 613 $ de media, pero puede costar miles, o incluso millones, de dólares más recuperarse de una brecha de datos grave.
Aparte de los costes monetarios, el hackeo de WordPress también puede afectar indirectamente a las empresas costándoles dinero al impactar en los ingresos y dañar la reputación de la marca.
¿Cuánto cuesta arreglar una web de WordPress hackeada?
El coste medio de la eliminación de malware de WordPress es de 613 $, pero eso puede variar sustancialmente de un caso a otro. De forma individual, los precios oscilaban desde 50 $ hasta 4.800 $.
En comparación, pagar por la seguridad de la web para proteger tu sitio del malware cuesta solo 8 $ por sitio/mes de media, lo que lo convierte en una decisión obvia para la mayoría de los dueños de sitios.
¿Cuánto cuestan las brechas de datos a las empresas?
El hackeo es responsable del 45 % de las brechas de datos en todo el mundo. Y, de media, el coste medio de una brecha de datos es de 3,86 millones de dólares. Pero, por supuesto, esto varía según el tamaño de la organización, el sector, etc.
¿Cuáles son los mayores impactos del hackeo de WordPress?
Según los profesionales web encuestados, el mayor impacto de un hackeo en el negocio de su cliente fue una pérdida de tiempo (59,2 %). Otros impactos negativos incluyen:
- Pérdida de ingresos – 27,2 %
- Pérdida de confianza del cliente – 26,4 %
- Pérdida de reputación de marca – 25,6 %
- Sin interrupción – 17,6 %
Fuentes: Patchstack, Statista, Sucuri3
¿Cuál es la versión más segura de WordPress?
La versión más segura de WordPress es siempre la última versión. En el momento de escribir esto, es WordPress 6.0.2.
¿Con qué frecuencia publica WordPress actualizaciones de seguridad?
WordPress suele publicar varias actualizaciones de seguridad y mantenimiento cada año. Hubo 4 en 2021. La última versión de seguridad (en el momento de escribir esto) fue WordPress 6.0.2, que corrigió tres problemas de seguridad: una vulnerabilidad XSS, un problema de escape de salida y una posible inyección SQL.
¿Se hackean fácilmente las versiones antiguas de WordPress?
Solo se descubrió que el 50,3 % de las webs de WordPress estaban desactualizadas cuando fueron infectadas, lo que sugiere que ejecutar una versión desactualizada del software de WordPress solo se correlaciona aproximadamente con la infección. No obstante, las buenas prácticas sugieren que siempre deberías usar la última versión de WordPress para minimizar tu riesgo de ser hackeado.
Fuentes: Sucuri1, WordPress3
Reflexiones finales
Con esto concluye nuestra recopilación de las estadísticas de hackeo de WordPress más importantes para 2024. ¡Esperamos que estos datos te hayan resultado útiles!
Si quieres saber aún más sobre WordPress, echa un vistazo a nuestra recopilación de estadísticas de WordPress.
También puedes aprender más sobre cómo proteger tu sitio de los hackers leyendo nuestra guía detallada sobre cómo mejorar la seguridad de WordPress en 2024.
¡Buena suerte!
Dinos si te ha gustado la publicación.
