· Jonathan Izquierdo · Seguridad web  ·

8 min de lectura

Vulnerabilidades WordPress: Cuándo tu web necesita análisis forense

Nuevas vulnerabilidades WordPress de enero 2026 (CVE-2026-1389) comprometen millones de sitios. ¿Ha sido atacada tu web? Guía forense para abogados y empresas.

Nuevas vulnerabilidades WordPress de enero 2026 (CVE-2026-1389) comprometen millones de sitios. ¿Ha sido atacada tu web? Guía forense para abogados y empresas.

“Mi web está hackeada, ¿verdad?”

Es la pregunta desesperada que me hizo un abogado el viernes pasado. Su web WordPress mostraba mensajes extraños y Google había marcado el sitio como “peligroso”.

Con las nuevas vulnerabilidades CVE-2026-1389 y CVE-2026-1295 detectadas por CCN-CERT en enero 2026, cientos de miles de sitios WordPress están en riesgo. Y muchos ya han sido comprometidos sin que sus propietarios lo sepan.

Esta guía te explica cómo detectar si tu web ha sido atacada y cuándo necesitas análisis forense.

El problema: WordPress es el objetivo número 1

WordPress alimenta el 43% de todas las webs del mundo. Es normal que sea el objetivo favorito de los ciberdelincuentes.

Los números son demoledores:

  • 90.000 ataques por minuto contra sitios WordPress
  • 70% de instalaciones tienen vulnerabilidades conocidas
  • Tiempo medio de compromiso: 6 meses antes de ser detectado
  • Coste medio de limpieza: entre 500€ y 15.000€

Pero lo realmente preocupante no es que te ataquen. Es que no te enteres hasta que es demasiado tarde.

Las nuevas vulnerabilidades de enero 2026

CCN-CERT publicó estas alertas críticas:

CVE-2026-1389: Ejecución remota de código

  • Afectación: WordPress 6.4 a 6.4.2
  • Severidad: Crítica (CVSS 9.8)
  • Vector: Plugin de gestión de archivos
  • Impacto: Control total del servidor

CVE-2026-1295: Escalado de privilegios

  • Afectación: WordPress 6.3.x con ciertos plugins
  • Severidad: Alta (CVSS 8.1)
  • Vector: Funciones de usuario mal validadas
  • Impacto: Acceso de administrador sin credenciales

Si tu web usa WordPress y no la has actualizado en enero 2026, probablemente esté comprometida.

Señales de que tu WordPress ha sido hackeado

En mis análisis forenses, estos son los síntomas más comunes:

Cambios visibles (los que todo el mundo ve)

  • Contenido extraño aparece en tu web
  • Redirecciones a sitios de apuestas, farmacia, etc.
  • Mensajes de Google sobre contenido malicioso
  • Velocidad de carga mucho más lenta
  • Errores 404 en páginas que antes funcionaban

Cambios ocultos (los peligrosos de verdad)

  • Archivos nuevos con nombres raros (wp-admin2.php, config-bak.php)
  • Usuarios administradores que no has creado tú
  • Código malicioso inyectado en archivos existentes
  • Tareas cron programadas sin tu conocimiento
  • Conexiones a servidores externos sospechosos

La mayoría de ataques son silenciosos. Te roban datos, usan tu servidor para atacar otros, o instalan puertas traseras para futuros ataques.

El caso del despacho infiltrado

Un ejemplo real de hace dos meses:

Un despacho de abogados me contactó porque sus clientes recibían emails extraños “de parte del bufete”. Los emails contenían enlaces maliciosos.

Mi análisis reveló:

  • ✅ Su web WordPress parecía normal
  • ✅ No había contenido extraño visible
  • ✅ Google no había detectado nada
  • ❌ Pero había un script oculto que recopilaba emails de contactos
  • ❌ Y enviaba spam usando su dominio desde servidores externos

Llevaban 8 meses comprometidos sin saberlo. El daño reputacional era incalculable.

Cuándo SÍ necesitas análisis forense de tu web

No todos los casos de WordPress comprometido requieren perito, pero sí estos:

Tu web maneja datos sensibles

Si procesáis:

  • Datos personales de clientes (RGPD)
  • Información médica o legal privilegiada
  • Datos de pago o financieros
  • Secretos empresariales o estratégicos

Un compromiso puede suponer:

  • Multas de hasta 20 millones€ por RGPD
  • Demandas de clientes afectados
  • Pérdida de secreto profesional
  • Daños reputacionales irreversibles

Hay indicios de robo de información

Si sospechas que se han llevado:

  • Base de datos de clientes
  • Documentos confidenciales subidos a la web
  • Credenciales de usuarios registrados
  • Información de formularios de contacto
Obligación legal

Si manejas datos personales y hay indicios de brecha, tienes 72 horas para notificar a la AEPD. Un análisis forense puede determinar qué datos se comprometieron exactamente.

Tu web es crítica para el negocio

Si dependes de tu web para:

  • Generar leads y contactos comerciales
  • Vender online o gestionar pedidos
  • Comunicarte con clientes habituales
  • Mantener tu reputación profesional

Un análisis forense puede:

  • Determinar desde cuándo estás comprometido
  • Identificar qué información se ha filtrado
  • Localizar todas las puertas traseras instaladas
  • Generar evidencia para reclamaciones de seguros

Si vas a:

  • Denunciar el ataque ante las autoridades
  • Reclamar al seguro cibernético
  • Demandar al proveedor de hosting por negligencia
  • Defenderte de reclamaciones de terceros afectados

Necesitas evidencia forense válida judicialmente que demuestre:

  • Cómo, cuándo y desde dónde ocurrió el ataque
  • Qué información se comprometió
  • Si había medidas de seguridad adecuadas
  • El alcance real del daño causado

Qué puede revelar un análisis forense

Esto es lo que investigo en un caso típico de WordPress comprometido:

  1. Timeline del ataque - cuándo empezó todo y cómo evolucionó
  2. Vector de entrada - qué vulnerabilidad se explotó
  3. Archivos afectados - qué se modificó, añadió o robó
  4. Persistencia - qué mecanismos instalaron para mantener acceso
  5. Exfiltración - qué datos se llevaron y a dónde
  6. Limpieza forense - eliminación completa del malware
  7. Recomendaciones - cómo evitar que vuelva a pasar

El resultado: sabes exactamente qué ha pasado y tienes un plan para solucionarlo definitivamente.

Tipos de ataques que analizo regularmente

Inyección de malware SEO

Objetivo: Posicionar contenido spam en tu dominio.

Síntomas:

  • Google indexa páginas de tu site que no has creado
  • Apareces en búsquedas de “casino online” o “viagra”
  • Tu tráfico aumenta pero son visitas basura

Daño: Google penaliza tu dominio. Pierdes posicionamiento orgánico.

Backdoors administrativas

Objetivo: Mantener acceso permanente aunque cambies contraseñas.

Síntomas:

  • Archivos PHP sospechosos en carpetas del sistema
  • Usuarios administradores que aparecen y desaparecen
  • Modificaciones que se revierten solas

Daño: Control total indefinido. Pueden hacer lo que quieran cuando quieran.

Robo de credenciales

Objetivo: Capturar usuarios y contraseñas de tu web.

Síntomas:

  • Formularios de login que “no funcionan bien”
  • Usuarios que se quejan de que les roban cuentas
  • Actividad extraña en cuentas de usuarios

Daño: Acceso a cuentas privadas, datos personales, información sensible.

Cryptojacking

Objetivo: Usar tu servidor para minar criptomonedas.

Síntomas:

  • CPU del servidor constantemente al 100%
  • Web extremadamente lenta
  • Facturas de hosting mucho más altas

Daño: Coste económico directo. Tu servidor se usa para enriquecer a otros.

Metodología forense paso a paso

Fase 1: Preservación de evidencia

Antes de tocar nada:

  • Imagen forense completa del servidor
  • Copia de logs de acceso y errores
  • Snapshot de la base de datos
  • Documentación del estado actual

Muchas empresas cometen el error de “limpiar primero”. Destruyen la evidencia sin darse cuenta.

Fase 2: Análisis de archivos

Reviso cada fichero buscando:

  • Modificaciones en archivos core de WordPress
  • Archivos nuevos no pertenecientes a la instalación
  • Código obfuscado o sospechoso
  • Timestamps anómalos que revelen cuándo ocurrió

Fase 3: Análisis de base de datos

Examino:

  • Usuarios con privilegios que no deberían tener
  • Opciones modificadas maliciosamente
  • Posts y páginas con contenido inyectado
  • Plugins y temas instalados sin autorización

Fase 4: Análisis de logs

Los logs revelan:

  • IPs desde donde se atacó
  • Momento exacto de la primera intrusión
  • Herramientas utilizadas por el atacante
  • Datos descargados del servidor

Fase 5: Análisis de red

Investigo:

  • Conexiones salientes a servidores de comando y control
  • DNS modificados para redireccionar tráfico
  • Certificados SSL instalados fraudulentamente
  • Subdominios creados sin autorización

Errores típicos después del compromiso

Error 1: Reinstalar WordPress y ya está

Problema: Si no eliminas todas las puertas traseras, vuelven a entrar en horas.

Solución: Análisis forense completo antes de la limpieza.

Error 2: Solo cambiar contraseñas

Problema: Si tienen backdoors administrativas, crean usuarios nuevos.

Solución: Auditoría completa de archivos del sistema.

Error 3: Restaurar backup sin más

Problema: Los backups pueden estar infectados desde hace meses.

Solución: Análisis temporal para determinar cuándo empezó el compromiso.

Error 4: Confiar en plugins de limpieza automática

Problema: Los atacantes sofisticados ocultan el malware donde estos plugins no miran.

Solución: Revisión manual por perito especializado.

Mi experiencia

He visto casos donde han usado 4 plugins diferentes de limpieza, han reinstalado WordPress 3 veces, y el atacante seguía teniendo acceso porque había instalado una puerta trasera en el .htaccess que nadie revisó.

Prevención: cómo blindar tu WordPress

Basándome en cientos de análisis forenses, estas son las medidas que realmente funcionan:

Actualizaciones automáticas críticas

  • WordPress core: siempre actualizado automáticamente
  • Plugins activos: actualizaciones de seguridad automáticas
  • Themes: revisión mensual de actualizaciones
  • PHP: versión soportada oficialmente

Hardening básico

  • Usuarios administradores: solo los imprescindibles
  • Contraseñas: generadas aleatoriamente, nunca reutilizadas
  • 2FA obligatorio para todos los administradores
  • Límite de intentos de login

Monitorización continua

  • Scanner de malware diario
  • Alertas de cambios en archivos críticos
  • Logs centralizados en servidor separado
  • Backup diferencial diario con retención de 90 días

Configuración de servidor segura

  • WAF (Web Application Firewall) configurado para WordPress
  • PHP: funciones peligrosas deshabilitadas
  • Permisos de archivos: 644 para archivos, 755 para directorios
  • Aislamiento: cada sitio en su propio usuario del sistema

Coste vs. beneficio del análisis forense

Seamos prácticos con los números:

Coste de análisis forense:

  • Sitio sencillo: 800-1.500€
  • E-commerce o web compleja: 1.500-3.000€
  • Investigación con evidencia legal: 2.000-5.000€

Coste de no hacerlo:

  • Reinfección: 300-800€ cada vez
  • Pérdida de posicionamiento SEO: 2.000-20.000€
  • Multa RGPD: 5.000€ a 20.000.000€
  • Pérdida de clientes: incalculable

El análisis forense no es un gasto, es la inversión más rentable para resolver el problema definitivamente.

Cuándo llamar al perito

Inmediatamente si:

  • Google ha marcado tu web como peligrosa
  • Detectas archivos o usuarios que no has creado
  • Clientes se quejan de emails extraños desde tu dominio
  • Tu servidor tiene actividad anómala (CPU, ancho de banda)

Antes de:

  • Restaurar cualquier backup
  • Reinstalar WordPress desde cero
  • Cambiar hosting por “problemas de seguridad”
  • Notificar a la AEPD una posible brecha

Después de:

  • Limpiar el malware sin documentar evidencia
  • Que tu hosting “solucione” el problema sin explicarte qué pasó
  • Perder datos o configuraciones importantes
  • Que el problema se repita varias veces

Conclusión: la web comprometida es evidencia

Una web hackeada no es solo un problema técnico. Es evidencia digital de un delito.

Mi recomendación después de analizar cientos de casos:

  • Si sospechas compromiso → no toques nada, llama al perito
  • Si manejas datos sensibles → análisis forense obligatorio
  • Si necesitas evidencia legal → metodología forense desde el minuto 1
  • Si quieres solucionarlo definitivamente → investiga la causa raíz

Las nuevas vulnerabilidades CVE-2026-1389 y CVE-2026-1295 han comprometido miles de sitios en España. Si tu WordPress no está actualizado, asume que está comprometido hasta que se demuestre lo contrario.

No juegues a la ruleta rusa con la seguridad de tu web. El coste de hacerlo bien la primera vez es siempre menor que el coste de las reinfecciones constantes.

¿Sospechas que tu WordPress ha sido comprometido? Puedo ayudarte con un análisis forense completo que determine el alcance real del compromiso. Contacta conmigo para una evaluación inicial sin compromiso.

Artículo actualizado el 2 febrero 2026 basado en las alertas CVE-2026-1389 y CVE-2026-1295 del CCN-CERT.

Sobre el autor

Jonathan Izquierdo es perito informático forense especializado en Seguridad web con conocimientos en blockchain, criptomonedas, AWS Cloud, desarrollo de software y seguridad. Experiencia tecnológica de más de 20 años al servicio de la justicia digital, liderando equipos de desarrollo de software en ámbitos internacionales.

Ver más sobre mí

Volver al Blog

Posts Relacionados

Ver Todos los Posts »
Jonathan Izquierdo

Jonathan Izquierdo · Perito Forense

+15 años experiencia · AWS Certified

WhatsApp