{"id":474,"date":"2026-04-09T19:39:22","date_gmt":"2026-04-09T18:39:22","guid":{"rendered":"https:\/\/vsx.is\/?p=474"},"modified":"2026-04-09T19:39:23","modified_gmt":"2026-04-09T18:39:23","slug":"por-que-los-plugins-de-wordpress-son-una-pesadilla-para-la-seguridad-y-como-lo-soluciona-emdash","status":"publish","type":"post","link":"https:\/\/vsx.is\/es\/proc-jsou-wordpress-pluginy-bezpecnostni-nocni-mura-a-jak-to-resi-emdash\/","title":{"rendered":"Por qu\u00e9 los plugins de WordPress son una pesadilla para la seguridad y c\u00f3mo EmDash lo soluciona"},"content":{"rendered":"

WordPress alimenta m\u00e1s de 40 sitios %. Pero su arquitectura de plugins es responsable de miles de vulnerabilidades al a\u00f1o. Cloudflare<\/a> ofrece otra manera.<\/em><\/p>\n\n\n\n

\n\n\n\n

Un problema que WordPress no puede resolver desde dentro<\/h2>\n\n\n\n

Cuando instalas un plugin en WordPress, le das acceso completo a la base de datos y al sistema de archivos de todo el sitio. No hay aislamiento. El plugin de formulario de contacto t\u00e9cnicamente tiene los mismos permisos que el plugin de gesti\u00f3n de comercio electr\u00f3nico - ambos ven todo: datos de usuario, contenido, configuraci\u00f3n, detalles de pago.<\/p>\n\n\n\n

Esto no es culpa de un plugin espec\u00edfico. Es un principio arquitect\u00f3nico de WordPress desde 2003. Un plugin es un script PHP que se conecta directamente al n\u00facleo del sistema. WordPress conf\u00eda absolutamente en \u00e9l.<\/p>\n\n\n\n

Y aqu\u00ed es donde empieza el problema.<\/p>\n\n\n\n

Cifras que deber\u00edan preocupar a todo webmaster<\/h2>\n\n\n\n

La empresa de seguridad Patchstack realiza un seguimiento sistem\u00e1tico de las vulnerabilidades en el ecosistema de WordPress. Sus datos de los \u00faltimos a\u00f1os muestran una tendencia clara:<\/p>\n\n\n\n

A\u00f1o 2024<\/strong> trajo consigo 7 966 nuevas vulnerabilidades, lo que supone un aumento de 34 % con respecto al a\u00f1o anterior. Esto significa una media de 22 nuevos agujeros de seguridad cada d\u00eda. De ellos, 96 % proced\u00edan de plugins y 4 % de plantillas. S\u00f3lo se encontraron 7 vulnerabilidades en el propio n\u00facleo de WordPress.<\/p>\n\n\n\n

Primer semestre de 2025<\/strong> a\u00f1adi\u00f3 6.700 vulnerabilidades. Sin embargo, m\u00e1s importante que el n\u00famero en s\u00ed es otra cifra: 41,5 % de ellas eran realmente explotables en la pr\u00e1ctica, frente a 30,4 % en el mismo periodo del a\u00f1o pasado. El atacante no necesitaba credenciales de acceso.<\/p>\n\n\n\n

Los tipos de vulnerabilidades m\u00e1s comunes siguen siendo los mismos desde hace a\u00f1os: Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF), Broken Access Control y Local File Inclusion.<\/p>\n\n\n\n

El mito del plugin popular<\/h2>\n\n\n\n

La suposici\u00f3n generalizada es que los plugins conocidos con millones de instalaciones son seguros porque est\u00e1n controlados por una gran comunidad. Los datos dicen lo contrario.<\/p>\n\n\n\n

En 2024, se encontraron m\u00e1s de 1.000 vulnerabilidades en plugins con m\u00e1s de 100.000 instalaciones activas. Se encontraron vulnerabilidades cr\u00edticas en herramientas tan extendidas como LiteSpeed Cache, Really Simple SSL y The Events Calendar. Patchstack pag\u00f3 su recompensa m\u00e1s alta en 2024 -16.400 d\u00f3lares- por una vulnerabilidad cr\u00edtica en LiteSpeed Cache, un plugin con millones de usuarios.<\/p>\n\n\n\n

La popularidad no significa seguridad. Significa un objetivo mayor.<\/p>\n\n\n\n

Por qu\u00e9 WordPress no puede arreglarlo<\/h2>\n\n\n\n

La arquitectura de plugins est\u00e1 tan integrada en el funcionamiento de WordPress que no puede modificarse sin romper la compatibilidad con decenas de miles de plugins existentes. Todos los plugins presuponen un acceso total a la base de datos. Eliminar este acceso significar\u00eda que la mayor\u00eda de los plugins dejar\u00edan de funcionar.<\/p>\n\n\n\n

Por lo tanto, WordPress aborda la seguridad de otras maneras: actualizaciones peri\u00f3dicas, plugins de seguridad (como Patchstack), reglas de cortafuegos, principios de permisos m\u00ednimos a nivel de rol de usuario. Todo esto ayuda, pero no aborda la causa ra\u00edz: la arquitectura conf\u00eda impl\u00edcitamente en cada plugin.<\/p>\n\n\n\n

A esto se a\u00f1ade el problema de los plugins abandonados. En 2024, 1.614 plugins y plantillas vulnerables fueron retirados de WordPress.org gracias a los investigadores de seguridad. Pero muchos de ellos siguen instalados en sitios activos.<\/p>\n\n\n\n

EmDash: un enfoque diferente de la seguridad de los plugins<\/h2>\n\n\n\n

En abril de 2026, Cloudflare present\u00f3 EmDash, un CMS (sistema de gesti\u00f3n de contenidos) de c\u00f3digo abierto que denomina \u201eel sucesor espiritual de WordPress\u201c. Se encuentra en la versi\u00f3n 0.1.0 - early developer beta<\/a> dise\u00f1ado principalmente para pruebas y desarrollo. Pero su arquitectura de seguridad merece atenci\u00f3n incluso en esta fase.<\/p>\n\n\n\n

Sandbox en lugar de acceso total<\/h3>\n\n\n\n

EmDash resuelve el principal problema de la arquitectura de WordPress: los plugins se ejecutan en un entorno aislado (sandbox) y tienen que declarar de antemano a qu\u00e9 necesitan acceder. El plugin de env\u00edo de correo electr\u00f3nico obtiene permisos \u201eemail:send\u201c y \u201eread:content\u201c, nada m\u00e1s. No puede leer la base de datos de usuarios, acceder a los datos de pago o modificar el contenido de otros plugins.<\/p>\n\n\n\n

En Cloudflare Workers, cada plugin se ejecuta en su propio entorno aislado V8. Incluso si un plugin se ve comprometido, su alcance se limita a las operaciones permitidas expl\u00edcitamente. Un formulario de contacto comprometido no puede escalar el acceso a todo el sitio.<\/p>\n\n\n\n

El modelo de seguridad total de EmDash est\u00e1 estrechamente ligado a la arquitectura de Cloudflare Workers y a su modelo de aislamiento. Para implementaciones que no sean de Cloudflare, es aconsejable verificar qu\u00e9 garant\u00edas de seguridad se mantienen en la pr\u00e1ctica.<\/p>\n\n\n\n

Autenticaci\u00f3n sin contrase\u00f1as<\/h3>\n\n\n\n

Por defecto, WordPress utiliza un inicio de sesi\u00f3n cl\u00e1sico con nombre de usuario y contrase\u00f1a. Los ataques de fuerza bruta en la p\u00e1gina de inicio de sesi\u00f3n son uno de los vectores de ataque m\u00e1s comunes.<\/p>\n\n\n\n

EmDash no admite contrase\u00f1as en absoluto. La autenticaci\u00f3n por defecto utiliza passkeys (claves criptogr\u00e1ficas vinculadas al dispositivo) y est\u00e1 dise\u00f1ada para ser conectable - se pueden conectar proveedores de identidad externos. No hay contrase\u00f1as que puedan ser adivinadas, robadas de la base de datos o mal utilizadas tras una filtraci\u00f3n desde otro servicio.<\/p>\n\n\n\n

Licencias y aislamiento del c\u00f3digo<\/h3>\n\n\n\n

EmDash est\u00e1 escrito completamente en TypeScript y utiliza la licencia MIT. Por razones de seguridad, es importante que los plugins no compartan c\u00f3digo con EmDash, ya que se ejecutan de forma independiente. Esto significa que Vulnerabilidad<\/a> en el plugin no puede utilizar la API interna del n\u00facleo de la forma que permite la arquitectura de WordPress.<\/p>\n\n\n\n

Lo que EmDash a\u00fan no es<\/h2>\n\n\n\n

Es importante dejar claro lo que EmDash no representa en su forma actual:<\/p>\n\n\n\n